Firma del repository debian: Evitare l'aggiornamento di SHA1, apt-get e ancora lamentarsi di digerire debole

Conservo un piccolo deposito di debian per il mio datore di lavoro e siamo stati affrontati recentemente a causa della depreazione SHA1.

Firmiamo i nostri pacchetti con un codice RSA 4096bit. Per la firma del repository, ho usato questo command GPG:

  • ldap / proxy AD: Imansible bind con il nome sAMAccountName, ma cognome e nome è in grado di bind
  • Perché alcuni client web richiedono una pagina denominata "cache"?
  • Perché mdadm scrive inutilizzabilmente lento quando montato in modo sincrono?
  • Perché non sudo -E effettivamente conserva il mio ambiente?
  • File di controllo su una casella Debian
  • Colbind l'installazione del pacchetto Debian
  • root@name-not-revealed.com:/var/www/debian/dists/xenial# cat /root/.gnupg/gpg.conf cert-digest-algo SHA512 digest-algo SHA512 disable-cipher-algo SHA1 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed personal-digest-preferences SHA512 root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg -a --detach-sign \ --personal-digest-preferences SHA512 \ --default-key=XXXXXXXX -o Release.gpg Release 

    Controllare la firma per assicurarsi che non utilizzi SHA1:

     root@name-not-revealed.com:/var/www/debian/dists/xenial# gpg --list-packets Release.gpg :signature packet: algo 1, keyid XXXXXXXXXXXXXXXX version 4, created 1484090425, md5len 0, sigclass 0x00 digest algo 10, begin of digest 3f 00 hashed subpkt 2 len 4 (sig created 2017-01-10) subpkt 16 len 8 (issuer key ID XXXXXXXXXXXXXXXX) data: [4095 bits] 

    Per quanto mi è informato, il bit di "digest algo 10" significa che sta utilizzando SHA512 per il digest. SHA1 sarebbe "digerire algo 2".

    Su un cliente, ho fatto quanto segue:

     root@othermachine:/root# echo "deb https://debian.name-not-revealed.com xenial main" >> /etc/apt/sources.list root@othermachine:/root# apt-key adv --keyserver pool.sks-keyservers.net --recv-keys 0xXXXXXXXX root@othermachine:/root# apt-get update Hit:1 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial InRelease Get:2 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-updates InRelease [102 kB] Get:3 http://eu-central-1.ec2.archive.ubuntu.com/ubuntu xenial-backports InRelease [102 kB] Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease Hit:5 http://ppa.launchpad.net/ondrej/php/ubuntu xenial InRelease Ign:6 https://debian.name-not-revealed.com xenial InRelease Hit:7 https://debian.name-not-revealed.com xenial Release Fetched 204 kB in 12s (15.9 kB/s) Reading package lists... Done W: https://debian.name-not-revealed.com/dists/xenial/Release.gpg: Signature by key 20F6C08B949AF3A95ECD7F6FDCDE5A8971317416 uses weak digest algorithm (SHA1) 

    Perché questo avviso viene visualizzato ancora? Perché apt-think che sto ancora utilizzando SHA1?

    All'inizio ho assunto la chiave per essere il colpevole, quindi ho creato un nuovo in base a questa guida di migrazione GPG: https://wiki.ubuntu.com/SecurityTeam/GPGMigration

    Tuttavia sto ancora ottenendo l'avviso "debole digest". Sono alla fine del mio spirito. Che cosa sto facendo di sbagliato?

    One Solution collect form web for “Firma del repository debian: Evitare l'aggiornamento di SHA1, apt-get e ancora lamentarsi di digerire debole”

    Ho trovato la soluzione: stavo utilizzando la versione sbagliata di GPG. gpg 1.x ignora tutte le opzioni "non utilizzare SHA1". Per utilizzare quelle bandiere, devi usare gpg 2.x che viene chiamato come "gpg2".

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.