主页 / unix / 问题 / 789405
Accepted
likewise
Asked: 2025-01-12 06:59:42 +0800 CST

升级到 >= 2.9.19 版本后,apt 会拒绝 sha1 和 rsa1024 签名 - 当 GnuPG 被 Sequoia 取代时

  • 772

升级apt到版本 >= 2.9.19 后,SHA1 和 RSA1024 签名被拒绝。

它的变更日志中有一个部分内容如下:

apt (2.9.19) 不稳定;紧急程度=中等

  • 用 OpenSSL 替换 GnuTLS 和 gcrypt
  • 在支持的 Debian 平台上用 Sequoia 替换 GnuPG
    • 方法:添加新的 sqv 方法
    • debian:添加默认策略以允许 SHA-1 自签名直至 2026 年
    • debian:将 sqv 插入到软件包构建中

所以我认为这将使策略能够接受 SHA1 签名,但也许我误解了。

debian

1 个回答

  1. Best Answer

    解决此问题:

    1. 创建文件夹来为 Sequoia 提供自定义策略
      sudo mkdir -p /etc/crypto-policies/back-ends
    2. 在此创建的文件夹中,创建并编辑自定义策略文件sequoia.config
      sudo nano /etc/crypto-policies/back-ends/sequoia.config
    3. 粘贴此内容
    [hash_algorithms]
sha1 = "always"

[asymmetric_algorithms]
rsa1024 = "always"
    1. 保存并nano关闭Ctrl+OCtrl+X

    apt 现在应该可以接受 SHA1 和 RSA1024。但是,出于某些原因,这些算法不再被推荐。将此自定义 Sequoia 策略视为临时解决方法,直到软件包创建者不再使用这些算法签署其作品。然后将策略修改回更安全的默认策略,例如删除 sequoia.config 文件。

    • 2

相关问题