Firma del repository debian: Evitare l'aggiornamento di SHA1, apt-get e ancora lamentarsi di digerire debole

Conservo un piccolo deposito di debian per il mio datore di lavoro e siamo stati affrontati recentemente a causa della depreazione SHA1.

Firmiamo i nostri pacchetti con un codice RSA 4096bit. Per la firma del repository, ho usato questo command GPG:

root@name-not-revealed.com:/var/www/debian/dists/xenial# cat /root/.gnupg/gpg.conf cert-digest-algo SHA512 digest-algo SHA512 disable-cipher-algo SHA1 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed personal-digest-preferences SHA512 root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg -a --detach-sign \ --personal-digest-preferences SHA512 \ --default-key=XXXXXXXX -o Release.gpg Release 

Controllare la firma per assicurarsi che non utilizzi SHA1:

 root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg --list-packets Release.gpg :signature packet: algo 1, keyid XXXXXXXXXXXXXXXX version 4, created 1484090425, md5len 0, sigclass 0x00 digest algo 10, begin of digest 3f 00 hashed subpkt 2 len 4 (sig created 2017-01-10) subpkt 16 len 8 (issuer key ID XXXXXXXXXXXXXXXX) data: [4095 bits] 

Per quanto mi è informato, il bit di "digest algo 10" significa che sta utilizzando SHA512 per il digest. SHA1 sarebbe "digerire algo 2".

Su un cliente, ho fatto quanto segue:

 root@othermachine:/root# echo "deb https://debian.name-not-revealed.com xenial main" >> /etc/apt/sources.list root@othermachine:/root# apt-key adv --keyserver pool.sks-keyservers.net --recv-keys 0xXXXXXXXX root@othermachine:/root# apt-get update Hit:1 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial InRelease Get:2 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-updates InRelease [102 kB] Get:3 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-backports InRelease [102 kB] Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease Hit:5 http://ppa.launchpad.net/ondrej/php/ubuntu xenial InRelease Ign:6 https://debian.name-not-revealed.com xenial InRelease Hit:7 https://debian.name-not-revealed.com xenial Release Fetched 204 kB in 12s (15.9 kB/s) Reading package lists... Done W: https://debian.name-not-revealed.com/dists/xenial/Release.gpg: Signature by key 20F6C08B949AF3A95ECD7F6FDCDE5A8971317416 uses weak digest algorithm (SHA1) 

Perché questo avviso viene visualizzato ancora? Perché apt-think che sto ancora utilizzando SHA1?

All'inizio ho assunto la chiave per essere il colpevole, quindi ho creato un nuovo in base a questa guida di migrazione GPG: https://wiki.ubuntu.com/SecurityTeam/GPGMigration

Tuttavia sto ancora ottenendo l'avviso "debole digest". Sono alla fine del mio spirito. Che cosa sto facendo di sbagliato?

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.