web-dev-qa-db-fra.com

Comment corriger "W: <...> le référentiel est insuffisamment signé par la clé <...> (résumé faible)" dans mon référentiel privé?

Je maintiens une série de référentiels privés. Les clés gpg utilisées pour signer le repo ont été créées avec "Key-Type: RSA" et "Key-Length: 4096". La version de GPG utilisée pour générer les clés est 1.4.16 sur Ubuntu 14.04. La machine qui se plaint a 1.4.20 gpg (sur une version bêta de 16.04).

Comment corriger "W: <...> le référentiel est insuffisamment signé par la clé <...> (résumé faible)" dans mon référentiel privé?

J'admets que je ne connais pas trop le cryptage, mais j'aurais pensé qu'une clé RSA de 4096 caractères aurait suffi.

8
Michael Peek

Le message d’avertissement ne concerne pas l’algorithme de chiffrement (les clés RSA 4k sont considérées comme étant tout à fait correctes et la pratique recommandée actuellement). L'algorithme digest est autre chose: l'algorithme de hachage appliqué sur le corps du message (dans votre cas, les packages ou les listes de packages) qui sont ensuite signés. GnuPG a des valeurs par défaut plutôt conservatrices pour rester compatibles, mais celles-ci sont lentement dépassées par les progrès réalisés dans la cryptanalyse.

Vous n'avez pas besoin de créer une nouvelle clé, mais simplement de modifier les paramètres de GnuPG. Les les propositions du blog de l'administrateur Debian sont toujours acceptables et vous aident à définir des valeurs par défaut raisonnables et un peu trop prudentes:

  1. Configurez les préférences à utiliser par GnuPG (pour signer des messages, chiffrer à d’autres, ...):

    cat >>~/.gnupg/gpg.conf <<EOF
    personal-digest-preferences SHA256
    cert-digest-algo SHA256
    default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 Zip Uncompressed
    EOF
    
  2. Définition d'algorithmes préférés dans votre clé pour qu'ils soient utilisés par d'autres (ajoute simultanément une nouvelle signature automatique avec les paramètres mis à jour du n ° 1 ci-dessus):

    $ gpg --edit-key $KEYID
    Command> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 Zip Uncompressed
    Command> save
    

À l'avenir, les algorithmes de digestion considérés comme sécurisés devraient être choisis par GnuPG.

7
Jens Erat