J'héberge des référentiels internes en utilisant reprepro.
Après la mise à niveau des clients vers Ubuntu 16.04, apt-get update
donne un avertissement "InRelease: Signature par clé ... utilise un algorithme de synthèse faible (SHA1)".
Le fichier InRelease commence comme ça:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Donc, reprepro a signé le fichier InRelease avec un SHA1. Comment puis-je le changer en SHA256 ou SHA512?
Vous pouvez résoudre ce problème en modifiant le fichier ~/.gnupg/gpg.conf
du compte d'utilisateur qui exécutera reprepro
et en ajoutant cette ligne au fichier digest-algo sha256
. Toutes les signatures effectuées avec GPG par cet utilisateur utiliseront l'algorithme de synthèse SHA256 par défaut. Par conséquent, les signatures effectuées par reprepro
seront également sha256.
Si vous souhaitez en savoir plus sur les paquets GPG, APT et Debian, j’ai écrit un article de blog complet sur signature et vérification des paquets Debian et des référentiels APT qui pourraient vous être utiles.