Як я можу виправити "W: <...> Репозиторій недостатньо підписаний ключем <...> (слабкий дайджест)" в моєму приватному сховищі?

8

Я підтримую серію приватних сховищ. Клавіші gpg, які використовуються для підписання РЕПО, були зроблені за допомогою "Key-Type: RSA" та "Key-length: 4096". Версія GPG, що використовується для генерації ключів, на Ubuntu 14.04 - 1.4.16. Машина, яка скаржиться, має gpg 1.4.20 (на бета-версії 16.04).

Як я можу виправити "W: <...> сховище недостатньо підписане ключем <...> (слабкий дайджест)" в моєму приватному сховищі?

Я визнаю, що я не знаю занадто багато про шифрування, але я вважав би, що ключ RSA довжиною 4096 був би достатнім.

apt  encryption  repository  gnupg 
Майкл Пік
джерело
1
Це на функції хешування підпису, а не на клавіші. Він скаржиться на хеш підпису SHA-1, коли очікує, що SHA-2.
Thomas Ward
1
Вам потрібно відредагувати свій ключ. Ця сторінка більш-менш пояснює це. debian-administration.org/users/dkg/weblog/48 Залишаючи коментар, оскільки це не належне відповідь.
повітряні кулі

Відповіді:

7

Попереджувальне повідомлення не стосується алгоритму шифрування (4k RSA-клавіші вважаються абсолютно чудовими та найкращими практиками зараз). Алгоритм дайджесту - це щось інше: алгоритм хешування, застосований на тілі повідомлення (у вашому випадку, пакунки або списки пакунків), які потім підписуються. GnuPG має досить консервативні типові параметри, щоб залишатися сумісними, але вони повільно випереджають прогреси, досягнуті в криптоаналізі.

Вам не потрібно створювати новий ключ, а просто змінити налаштування для GnuPG. Ці пропозиції щодо блозі Debian-адміністратор по - , як і раніше в порядку і допоможе вам налаштування розумних значень по замовчуванням , які дуже небагато перестрахуватися:

  1. Встановіть налаштування, якими повинен користуватися GnuPG (для підписання повідомлень, шифрування для інших, ...):

    cat >>~/.gnupg/gpg.conf <<EOF
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
EOF

  2. Встановлення бажаних алгоритмів у вашому ключі для використання іншими (водночас додає новий самопідпис з оновленими налаштуваннями з №1 вище):

    $ gpg --edit-key $KEYID
Command> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Command> save

Надалі GnuPG повинен вибирати алгоритми дайджесту, які вважаються безпечними.

Єнс Ерат
джерело
Я використовую сховище, створене іншим, і я не можу змусити їх змінити хеш (вони не підтримують мою нову версію операційної системи). Чи є спосіб отримати ігнорування цієї проблеми?
Гасс
GnuPG знає варіант --allow-weak-digest-algos, але я не впевнений, як ви могли його передати apt. Повідомте іншу сторону, що MD5 також порушено для старих та інших операційних систем.
Єнс Ерат
Я також додав налаштування 'digest-algo SHA512', без нього я ще отримав підпис SHA1. Якщо це підтверджено gpg --verbose --verify Release.gpg Release, додавання "-verbose" відображає тип дайджесту.
Герман ван Рінк
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.