Mantengo una serie de repositorios privados. Las claves gpg utilizadas para firmar el repositorio se hicieron con "Key-Type: RSA" y "Key-Length: 4096". La versión de GPG utilizada para generar las claves es 1.4.16 en Ubuntu 14.04. La máquina que se queja tiene gpg 1.4.20 (en una versión beta de 16.04).
¿Cómo puedo arreglar "W: <...> El repositorio no está suficientemente firmado por la clave <...> (resumen débil)" en mi repositorio privado?
Admito que no sé demasiado sobre cifrado, pero habría pensado que la clave RSA de 4096 de longitud habría sido suficiente.
apt
encryption
repository
gnupg
Michael Peek
fuente
fuente
Respuestas:
El mensaje de advertencia no se trata del algoritmo de cifrado (las claves RSA de 4k se consideran totalmente buenas y las mejores prácticas en este momento). Sin embargo, el algoritmo de resumen es otra cosa: el algoritmo de hash aplicado en el cuerpo del mensaje (en su caso, los paquetes o listas de paquetes) que luego se firman. GnuPG tiene valores predeterminados bastante conservadores para mantenerse compatible, pero estos son lentamente superados por los progresos realizados en el criptoanálisis.
No tiene que crear una nueva clave, sino simplemente cambiar la configuración de GnuPG. Las propuestas del blog del administrador de Debian todavía están bien y lo ayudan a establecer valores predeterminados razonables que son un poco cautelosos:
Configure las preferencias que utilizará GnuPG (para firmar mensajes, encriptar a otros, ...):
Establecer algoritmos preferidos en su clave para que otros los usen (al mismo tiempo agrega una nueva firma propia con la configuración actualizada del # 1 anterior):
En el futuro, GnuPG debería elegir los algoritmos de resumen considerados seguros.
fuente
--allow-weak-digest-algos
, pero no estoy seguro de cómo podría pasarlaapt
. Notifique a la otra parte que MD5 también está dañado para los sistemas operativos más antiguos y otros.gpg --verbose --verify Release.gpg Release
, agregar '--verbose' hace que muestre el tipo de resumen.