我正在处理一个Debian存储库,该存储库显然包含一个InRelease文件,该文件可能是以no longer appropriate的方式签名的。症状是客户端在运行The repository '... InRelease is not signed时收到警告apt-get update。
InRelease包含以-----BEGIN PGP SIGNED MESSAGE-----和-----BEGIN PGP SIGNATURE-----开头的部分,因此已签名,并且我已经将我的PGP personal-digest-preferences和personal-cipher-preferences设置调整为不使用SHA-1。但是仍然缺少某些东西。
我的问题是:当我检查实际签名(----BEGIN PGP SIGNATURE-----和-----END PGP SIGNATURE-----之间的ASCII装甲)时,有一种方法可以判断在其创建过程中使用了哪些算法,尤其是SHA-1是否在其创作中发挥作用?我想答案是否定的,但我想听听专家的意见。
更新 -----BEGIN PGP SIGNATURE-----之后的第一行显示为Hash: SHA256,因此看起来不错(因为我在首选项设置中首先选择了SHA256),但是问题仍然存在。
更新我现在通过调用apt-ftparchive packages和apt-ftparchive release(用于创建文件Packages和Releases,也从索引中排除了SHA-1分别使用其他参数--no-sha1,但问题仍然存在。
答案 0 :(得分:0)
因此,现在看起来好像签名已经有效(按照说明删除SHA-1摘要之后),但是签名密钥尚不知道。
因此,使用add-key add key.pub向客户端添加签名密钥会使问题消失。