Início / unix / Perguntas / 789405
Accepted
likewise
Asked: 2025-01-12 06:59:42 +0800 CST

apt rejeita assinaturas sha1 e rsa1024 após atualização para versão >= 2.9.19 - quando GnuPG é substituído por Sequoia

  • 772

Após a atualização aptpara a versão >= 2.9.19, as assinaturas SHA1 e RSA1024 são rejeitadas.

Há uma seção em seu changelog que diz:

apt (2.9.19) instável; urgência=média

  • Substitua GnuTLS e gcrypt por OpenSSL
  • Substitua o GnuPG pelo Sequoia nas plataformas Debian suportadas
    • métodos: Adicionar novo método sqv
    • debian: Adicionar política padrão para permitir autoassinaturas SHA-1 até 2026
    • debian: Conecte sqv ao pacote build

Então pensei que isso permitiria que uma política aceitasse assinaturas SHA1, mas talvez eu tenha entendido errado.

debian

1 respostas

  1. Best Answer

    Para resolver isso:

    1. Crie uma pasta para fornecer uma política personalizada para o Sequoia
      sudo mkdir -p /etc/crypto-policies/back-ends
    2. Nesta pasta criada, crie e edite o arquivo de política personalizadosequoia.config
      sudo nano /etc/crypto-policies/back-ends/sequoia.config
    3. Cole isso como seu conteúdo
    [hash_algorithms]
sha1 = "always"

[asymmetric_algorithms]
rsa1024 = "always"
    1. Salvar e fechar nanocom Ctrl+O,Ctrl+X

    O SHA1 e o RSA1024 agora devem ser aceitos pelo apt. No entanto, há razões pelas quais esses algoritmos não são mais recomendados. Trate essa política personalizada do Sequoia como uma solução temporária até que os criadores de pacotes deixem de assinar seu trabalho com esses algoritmos. Em seguida, modifique a política de volta para o padrão mais seguro, por exemplo, excluindo o arquivo sequoia.config.

    • 2

relate perguntas