Jak mogę naprawić „W: <…> Repozytorium nie jest wystarczająco podpisane przez klucz <…> (słabe podsumowanie)” w moim prywatnym repozytorium?

8

Prowadzę szereg prywatnych repozytoriów. Klucze gpg użyte do podpisania repozytorium zostały wykonane przy użyciu „Key-Type: RSA” i „Key-Length: 4096”. Wersja GPG używana do generowania kluczy to 1.4.16 na Ubuntu 14.04. Maszyna, która narzeka, ma gpg 1.4.20 (w wersji beta 16.04).

Jak mogę naprawić „W: <...> Repozytorium nie jest wystarczająco podpisane przez klucz <...> (słaby skrót)” w moim prywatnym repozytorium?

Przyznaję, że nie wiem zbyt wiele o szyfrowaniu, ale pomyślałem, że klucz RSA o długości 4096 byłby wystarczający.

apt encryption repository gnupg Michael Peek
źródło
1
To jest funkcja skrótu podpisu, NIE klucz. Narzeka na skrót sygnatury SHA-1, gdy oczekuje SHA-2.
Thomas Ward
1
Musisz edytować swój klucz. Ta strona mniej więcej to wyjaśnia. debian-administration.org/users/dkg/weblog/48 Pozostawiając komentarz, ponieważ nie jest to odpowiednia odpowiedź.
balony

Odpowiedzi:

7

Komunikat ostrzegawczy nie dotyczy algorytmu szyfrowania (klucze RSA 4k są obecnie uważane za całkowicie dobre i stanowią najlepszą praktykę). Strawienia algorytm jest jednak coś innego: algorytm mieszania stosowane w treści wiadomości (w przypadku opakowań lub list pakietów), które następnie są podpisane. GnuPG ma raczej konserwatywne ustawienia domyślne, aby pozostać kompatybilne, ale są one powoli wyprzedzane przez postępy w kryptoanalizie.

Nie musisz tworzyć nowego klucza, wystarczy zmienić ustawienia GnuPG. Te propozycje blogu Debianie administratora są nadal dobrze i pomóc ustawienie domyślne, które uzasadnione są raczej trochę ostrożni:

  1. Ustaw preferencje, które będą używane przez GnuPG (do podpisywania wiadomości, szyfrowania do innych, ...):

    cat >>~/.gnupg/gpg.conf <<EOF
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
EOF

  2. Ustawienie preferowanych algorytmów w twoim kluczu, które będą używane przez inne osoby (jednocześnie dodaje nowy podpis własny ze zaktualizowanymi ustawieniami z punktu 1 powyżej):

    $ gpg --edit-key $KEYID
Command> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Command> save

W przyszłości GnuPG powinien wybrać algorytmy skrótu uważane za bezpieczne.

Jens Erat
źródło
Korzystam z repozytorium utworzonego przez inny i nie mogę zmusić ich do zmiany skrótu („nie obsługują” mojej nowszej wersji systemu operacyjnego). Czy istnieje sposób na zignorowanie tego problemu?
Guss
GnuPG zna tę opcję --allow-weak-digest-algos, ale nie jestem pewien, jak możesz ją przejść apt. Powiadom drugą stronę, że MD5 jest uszkodzony także w starszych i innych systemach operacyjnych.
Jens Erat
Dodałem także opcję konfiguracji SHA512 „digest-algo”, bez niej nadal mam podpis SHA1. Zweryfikowane za pomocą gpg --verbose --verify Release.gpg Releasedodania „--verbose” powoduje wyświetlenie typu podsumowania.
Herman van Rink