Назад | Перейти на главную страницу

Подписание репозитория debian: избегал SHA1, обновление apt-get все еще жалуется на слабый дайджест

У меня есть небольшой репозиторий debian для своего работодателя, и в последнее время мы сталкиваемся с проблемами из-за устаревания SHA1.

Мы подписываем наши пакеты 4096-битным ключом RSA. Для подписи репозитория я использовал эту команду GPG:

root@name-not-revealed.com:/var/www/debian/dists/xenial# cat /root/.gnupg/gpg.conf
cert-digest-algo SHA512
digest-algo SHA512
disable-cipher-algo SHA1
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-digest-preferences SHA512

root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg -a --detach-sign \
--personal-digest-preferences SHA512 \
--default-key=XXXXXXXX -o Release.gpg Release

Проверка подписи, чтобы убедиться, что она не использует SHA1:

root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg --list-packets Release.gpg 
:signature packet: algo 1, keyid XXXXXXXXXXXXXXXX
    version 4, created 1484090425, md5len 0, sigclass 0x00
    digest algo 10, begin of digest 3f 00
    hashed subpkt 2 len 4 (sig created 2017-01-10)
    subpkt 16 len 8 (issuer key ID XXXXXXXXXXXXXXXX)
    data: [4095 bits]

Насколько мне известно, бит об «алгоритме дайджеста 10» означает, что он использует SHA512 для дайджеста. SHA1 будет «алгоритмом переваривания 2».

На клиенте я сделал следующее:

root@othermachine:/root# echo "deb https://debian.name-not-revealed.com xenial main" >> /etc/apt/sources.list
root@othermachine:/root# apt-key adv --keyserver pool.sks-keyservers.net --recv-keys 0xXXXXXXXX
root@othermachine:/root# apt-get update
Hit:1 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial InRelease
Get:2 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-updates InRelease [102 kB]                                    
Get:3 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-backports InRelease [102 kB]                                  
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease                                                            
Hit:5 http://ppa.launchpad.net/ondrej/php/ubuntu xenial InRelease                                                            
Ign:6 https://debian.name-not-revealed.com xenial InRelease                                                                
Hit:7 https://debian.name-not-revealed.com xenial Release                                                                  
Fetched 204 kB in 12s (15.9 kB/s)                                                                                                
Reading package lists... Done
W: https://debian.name-not-revealed.com/dists/xenial/Release.gpg: Signature by key 20F6C08B949AF3A95ECD7F6FDCDE5A8971317416 uses weak digest algorithm (SHA1)

Почему это предупреждение все еще появляется? Почему apt-get думает, что я все еще использую SHA1?

Сначала я предположил, что виноват ключ, поэтому я создал новый в соответствии с этим руководством по миграции GPG: https://wiki.ubuntu.com/SecurityTeam/GPGMigration

Однако я все еще получаю предупреждение о "слабом дайджесте". Я сошел с ума. Что я делаю не так?

Я сам нашел решение: я использовал неправильную версию GPG. gpg 1.x игнорирует все параметры «не использовать SHA1». Чтобы использовать эти флаги, вы должны использовать gpg 2.x, который называется «gpg2».