reprepro: la signature par clé utilise l'algorithme de digestion faible (SHA1)

Question

J'héberge des référentiels internes en utilisant reprepro.

Après la mise à niveau des clients vers Ubuntu 16.04, apt-get update donne un avertissement "InRelease: Signature par clé ... utilise un algorithme de synthèse faible (SHA1)".

Le fichier InRelease commence comme ça:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Donc, reprepro a signé le fichier InRelease avec un SHA1. Comment puis-je le changer en SHA256 ou SHA512?

Joe Damato · Accepted Answer

Vous pouvez résoudre ce problème en modifiant le fichier ~/.gnupg/gpg.conf du compte d'utilisateur qui exécutera reprepro et en ajoutant cette ligne au fichier digest-algo sha256. Toutes les signatures effectuées avec GPG par cet utilisateur utiliseront l'algorithme de synthèse SHA256 par défaut. Par conséquent, les signatures effectuées par reprepro seront également sha256.

Si vous souhaitez en savoir plus sur les paquets GPG, APT et Debian, j’ai écrit un article de blog complet sur signature et vérification des paquets Debian et des référentiels APT qui pourraient vous être utiles.