Firma del repository debian: Evitare l'aggiornamento di SHA1, apt-get e ancora lamentarsi di digerire debole

Conservo un piccolo deposito di debian per il mio datore di lavoro e siamo stati affrontati recentemente a causa della depreazione SHA1.

Firmiamo i nostri pacchetti con un codice RSA 4096bit. Per la firma del repository, ho usato questo command GPG:

  • SSI include non lavorare su Debian con Apache
  • come rimuovere un pacchetto che non riesce a eseguire il post-installazione e lo script di pre-rimozione?
  • L'avvio di Nginx non riesce a ssl nessun file o directory
  • GitLab CE 7 dietro l'host virtuale Debian 8 / Apache 2: non è ansible accedere agli asset
  • Come posso abilitare l'inoltro X11 a una casella server Debian?
  • Quali sono le "console virtuali" nel programma di installazione di ubuntu?
  • root@name-not-revealed.com:/var/www/debian/dists/xenial# cat /root/.gnupg/gpg.conf cert-digest-algo SHA512 digest-algo SHA512 disable-cipher-algo SHA1 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed personal-digest-preferences SHA512 root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg -a --detach-sign \ --personal-digest-preferences SHA512 \ --default-key=XXXXXXXX -o Release.gpg Release 

    Controllare la firma per assicurarsi che non utilizzi SHA1:

     root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg --list-packets Release.gpg :signature packet: algo 1, keyid XXXXXXXXXXXXXXXX version 4, created 1484090425, md5len 0, sigclass 0x00 digest algo 10, begin of digest 3f 00 hashed subpkt 2 len 4 (sig created 2017-01-10) subpkt 16 len 8 (issuer key ID XXXXXXXXXXXXXXXX) data: [4095 bits] 

    Per quanto mi è informato, il bit di "digest algo 10" significa che sta utilizzando SHA512 per il digest. SHA1 sarebbe "digerire algo 2".

    Su un cliente, ho fatto quanto segue:

     root@othermachine:/root# echo "deb https://debian.name-not-revealed.com xenial main" >> /etc/apt/sources.list root@othermachine:/root# apt-key adv --keyserver pool.sks-keyservers.net --recv-keys 0xXXXXXXXX root@othermachine:/root# apt-get update Hit:1 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial InRelease Get:2 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-updates InRelease [102 kB] Get:3 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-backports InRelease [102 kB] Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease Hit:5 http://ppa.launchpad.net/ondrej/php/ubuntu xenial InRelease Ign:6 https://debian.name-not-revealed.com xenial InRelease Hit:7 https://debian.name-not-revealed.com xenial Release Fetched 204 kB in 12s (15.9 kB/s) Reading package lists... Done W: https://debian.name-not-revealed.com/dists/xenial/Release.gpg: Signature by key 20F6C08B949AF3A95ECD7F6FDCDE5A8971317416 uses weak digest algorithm (SHA1) 

    Perché questo avviso viene visualizzato ancora? Perché apt-think che sto ancora utilizzando SHA1?

    All'inizio ho assunto la chiave per essere il colpevole, quindi ho creato un nuovo in base a questa guida di migrazione GPG: https://wiki.ubuntu.com/SecurityTeam/GPGMigration

    Tuttavia sto ancora ottenendo l'avviso "debole digest". Sono alla fine del mio spirito. Che cosa sto facendo di sbagliato?

    One Solution collect form web for “Firma del repository debian: Evitare l'aggiornamento di SHA1, apt-get e ancora lamentarsi di digerire debole”

    Ho trovato la soluzione: stavo utilizzando la versione sbagliata di GPG. gpg 1.x ignora tutte le opzioni "non utilizzare SHA1". Per utilizzare quelle bandiere, devi usare gpg 2.x che viene chiamato come "gpg2".

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.