Comment puis-je corriger «W: <…> Le référentiel est insuffisamment signé par la clé <…> (résumé faible)» dans mon référentiel privé?

8

Je gère une série de référentiels privés. Les clés gpg utilisées pour signer le dépôt ont été faites avec "Type de clé: RSA" et "Longueur de clé: 4096". La version de GPG utilisée pour générer les clés est 1.4.16 sur Ubuntu 14.04. La machine qui se plaint a gpg 1.4.20 (sur une beta de 16.04).

Comment puis-je corriger "W: <...> Le référentiel est insuffisamment signé par la clé <...> (faible résumé)" dans mon référentiel privé?

J'avoue que je ne connais pas trop le chiffrement, mais j'aurais pensé que la clé RSA de 4096 aurait été suffisante.

apt encryption repository gnupg Michael Peek
la source
1
C'est sur la fonction de hachage de signature, PAS sur la clé. Il se plaint d'un hachage de signature SHA-1 sur la chose, quand il attend SHA-2.
Thomas Ward
1
Vous devez modifier votre clé. Cette page l'explique plus ou moins. debian-administration.org/users/dkg/weblog/48 Laisser un commentaire car ce n'est pas une bonne réponse.
ballons

Réponses:

7

Le message d'avertissement ne concerne pas l'algorithme de chiffrement (les clés RSA 4k sont considérées comme totalement correctes et les meilleures pratiques pour le moment). L' algorithme de résumé est autre chose cependant: l'algorithme de hachage appliqué sur le corps du message (dans votre cas, les packages ou les listes de packages) qui sont ensuite signés. GnuPG a des valeurs par défaut plutôt conservatrices pour rester compatible, mais celles-ci sont lentement dépassées par les progrès réalisés dans la cryptanalyse.

Vous n'avez pas besoin de créer une nouvelle clé, mais modifiez simplement les paramètres de GnuPG. Les propositions du blog de l'administrateur Debian sont toujours correctes et vous aident à définir des valeurs par défaut raisonnables qui sont un peu trop prudentes:

  1. Configurer les préférences à utiliser par GnuPG (pour signer des messages, chiffrer à d'autres, ...):

    cat >>~/.gnupg/gpg.conf <<EOF
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
EOF

  2. Définir des algorithmes préférés dans votre clé pour qu'ils soient utilisés par d'autres (en même temps, ajoute une nouvelle auto-signature avec les paramètres mis à jour du n ° 1 ci-dessus):

    $ gpg --edit-key $KEYID
Command> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Command> save

À l'avenir, les algorithmes de résumé considérés comme sécurisés devraient être choisis par GnuPG.

Jens Erat
la source
Je consomme un référentiel créé par un autre, et je ne peux pas les amener à changer le hachage (ils "ne prennent pas en charge" ma nouvelle version du système d'exploitation). Existe-t-il un moyen d'aptitude à ignorer ce problème?
Guss
GnuPG connaît l'option --allow-weak-digest-algos, mais je ne sais pas comment vous pouvez la passer apt. Informez l'autre partie que MD5 est également défectueux pour les anciens systèmes d'exploitation et autres.
Jens Erat
J'ai également ajouté l'option de configuration «digest-algo SHA512», sans laquelle j'ai toujours une signature SHA1. Vérifié avec gpg --verbose --verify Release.gpg Release, l'ajout de '--verbose' permet d'afficher le type de résumé.
Herman van Rink