[Обходной путь] Предупреждение: ключ подписи использует слабый алгоритм

Появилось предупреждение о слабом ключе подписи в выводе команды apt? Вот почему и как избавиться от этого в Ubuntu 24.04.

После добавления PPA или сторонних репозиториев исходного кода в Ubuntu 24.04 вы можете получить следующее аналогичное предупреждение в выводе команды apt (обычно apt update):

W: https://ppa.launchpadcontent.net/mozillateam/ppa/ubuntu/dists/noble/InRelease: подпись по ключу 0AB215679C571D1C8325275B9BDB3D89CE49EC21 использует слабый алгоритм (rsa1024)

Предупреждение также может появиться в Debian и системах на его основе с менеджером пакетов apt 2.7.13 или выше.

В связи с обновлением политики шифрования apt now (начиная с версии 2.7.13, см. коммит) требует, чтобы репозитории были подписаны с использованием одного из следующих алгоритмов открытого ключа:

• RSA с ключами длиной не менее 2048 бит
• Ed25519
• Эд448

1024-битные ключи RSA, которые используются для PPA панели запуска на момент написания, а также ключи DSA (больше невозможно использовать) и ключи ECC (NIST P-{256,384,521}, Brainpool P-{256,384,512}). , secp256k1) широко считаются НЕБЕЗОПАСНЫМИ.

Ubuntu 24.04 включает версию 2.7.14 с обновлением политики (см. страницу обсуждения). Клавиши UNSAFE пока все еще работают, но вы увидите предупреждение, как указано выше.

Для PPA Ubuntu (хост на launchpad.net) никаких действий не требуется! Команда Ubuntu обновит ключи до 4096-битного RSA.

PPA в настоящее время находится в процессе обновления до 4096-битного ключа RSA, и мы ожидаем, что обновление будет завершено к моменту выпуска. Никаких действий со стороны владельцев PPA не требуется (или невозможно).

Если вы в настоящее время используете версию 24.04 до ее выпуска, вам потребуется обновить ключи подписи PPA, когда предупреждение станет ошибкой. Для этого мы планируем предоставить простую функциональность в add-apt-repository, чтобы вам не приходилось удалять и повторно добавлять PPA.

Как отменить изменение политики

Итак, если вы не можете дождаться, пока сопровождающие обновят ключи, или вы просто доверяете текущим ключам, вы можете добавить правило, чтобы избавиться от предупреждения.

1. Сначала нажмите Ctrl+Alt+T, чтобы открыть окно терминала. Когда он откроется, выполните команду, чтобы создать файл конфигурации для apt:

sudo nano /etc/apt/apt.conf.d/99weakkey-warning

Здесь я использую текстовый редактор командной строки nano, который работает на большинстве настольных компьютеров, вы можете заменить его на gnome-text-editor для 24.04 с GNOME по умолчанию или другим редактором в зависимости от вашего рабочего стола. среда. И вы можете заменить имя файла 99weakkey-warning на любое, какое захотите.

2. Когда файл откроется, добавьте строку ниже и измените (или добавьте) значение в соответствии с вашими потребностями:

APT::Key::Assert-Pubkey-Algo «>=rsa1024,ed25529,ed448»;

Ключевые алгоритмы по умолчанию: «>=rsa2048,ed25529,ed448». В моем случае (см. скриншот выше) в предупрежденном ключе используется «rsa1024». Итак, я заменяю значение >=rsa2048 на >=rsa1024.

Например, вы хотите разрешить secp256k1 (запустите sudo apt update, чтобы получить предупреждение об алгоритме ключа), а затем замените эту строку на:

APT::Key::Assert-Pubkey-Algo ">=rsa2048,ed25529,ed448,secp256k1";

Или просто оставьте это поле пустым, чтобы были разрешены все ключевые алгоритмы, которым доверяет GnuPG, поэтому это будет:

APT::Key::Assert-Pubkey-Algo "";

После редактирования нажмите Ctrl+S, чтобы сохранить файл, и Ctrl+X, чтобы выйти. И запустите команду sudo apt update, чтобы проверить изменение.

Как восстановить

Чтобы восстановить изменения, просто удалите созданный вами файл конфигурации, выполнив команду в терминале (Ctrl+Alt+T):

sudo rm /etc/apt/apt.conf.d/99weakkey-warning

Наконец, запустите sudo apt update, чтобы обновить кеш системных пакетов.