Apt-Get funciona con repositorio privado en Ubuntu 14, pero falla con un error de GPG "Firmas inválidas" en Ubuntu 18 -- apt campo con repository campo con gnupg camp askubuntu Relacionados El problema

apt-get works with private repository in Ubuntu 14 but fails with GPG error “signatures invalid” in Ubuntu 18


0
vote

problema

Español

Mi repositorio de paquete privado verifica OK en Ubuntu 14 LTS, pero falla la verificación en Ubuntu 18 LTS.
No pude encontrar la diferencia en los lanzamientos de Ubuntu que causa el comportamiento diferenciador.

  # Hostname, User, Password, Directory, Distribution, Component and Signature are my # private values in the following code snippets: apt-get update Err:2 http://Hostname/Directory Distribution InRelease   The following signatures were invalid: Signature   

Configuración APT:

  ABCDEFGHIJKLMNABCDEFGHIJKLMN5   

Descargando el archivo InRelease/defhijklmn6 y verificando su firma Sucede manualmente (el mismo resultado en Ubuntu 14 y Ubuntu 18):

  wget --server-response -O- http://User:Password@Hostname/Directory/dists/Distribution/InRelease > ./InRelease gpg --verify --keyring /etc/apt/trusted.gpg.d/Distribution.gpg ./InRelease  gpg: Signature made ... gpg:                using RSA key ... gpg: Good signature from "..." [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg:          There is no indication that the signature belongs to the owner. Primary key fingerprint: SameSignatureAsInTheAptGetOutputAbove   

¿Cómo puedo depurar esto a la causa raíz?

Original en ingles

My private package repository verifies OK in Ubuntu 14 LTS but fails verification in Ubuntu 18 LTS.
I failed to find the difference in the Ubuntu releases that causes the differerent behavior.

# Hostname, User, Password, Directory, Distribution, Component and Signature are my # private values in the following code snippets: apt-get update Err:2 http://Hostname/Directory Distribution InRelease   The following signatures were invalid: Signature 

apt configuration:

cat /etc/apt/sources.list.d/Distribution.list deb [arch=amd64] http://User:Password@Hostname/Directory/ Distribution Component 

Downloading the InRelease file and verifying its signature manually succeeds (same result on Ubuntu 14 and Ubuntu 18):

wget --server-response -O- http://User:Password@Hostname/Directory/dists/Distribution/InRelease > ./InRelease gpg --verify --keyring /etc/apt/trusted.gpg.d/Distribution.gpg ./InRelease  gpg: Signature made ... gpg:                using RSA key ... gpg: Good signature from "..." [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg:          There is no indication that the signature belongs to the owner. Primary key fingerprint: SameSignatureAsInTheAptGetOutputAbove 

How can I debug this to the root cause ?

        

Lista de respuestas

0
 
vote
vote
La mejor respuesta
 

El error es causado por el rechazo silencioso de las firmas inseguras SHA-1 en la nueva versión en Ubuntu 18. Parece que ninguno de los dos gpg ni apt pueden dar una advertencia explícita sobre el algoritmo de firma desactualizado. (Si alguien sabe cómo producir una advertencia de este tipo, comente aquí.)

Solución alternativa es poner digest-algo sha256 en https://github.com/aptly-dev/aply/pull/366 < / a>. Las firmas SHA-256 producidas son compatibles con ABCDEFGHIJKLMNABCDEFGHIJKLMN7 en Ubuntu 14 y 18.

La solución a largo plazo es actualizar la versión aptly que construye el repositorio.

 

Error is caused by the silent rejection of insecure SHA-1 signatures in the new apt version in Ubuntu 18. It seems that neither gpg nor apt are able to give an explicit warning about the outdated signature algorithm. (If anybody knows how to produce such a warning, please comment here.)

Workaround is to put digest-algo sha256 into ~/.gnupg/gpg.conf at the aptly package build server. Found on https://github.com/aptly-dev/aptly/pull/366. The SHA-256 signatures produced are compatible to apt in Ubuntu 14 and 18.

Long-term solution is to upgrade the aptly version that builds the repository.

 
 

Relacionados problema

31  ¿Cómo puedo borrar mi contraseña de GPG en caché?  ( How can i clear my cached gpg password ) 
He intentado: el Método Sighup - & GT; no hay succes el tiempo de espera de caché en gpg-agent.conf - & gt; Parece que este archivo no se lee, aunque ten...

0  Cifrado GPG con y sin clave pública  ( Gpg encryption with and without public key ) 
Soy nuevo en el cifrado PGP. Tengo algunos archivos que me gustaría cifrar antes de almacenarlos en un almacenamiento en la nube. Aprendí que podría cifrar ...

11  ¿Qué hacer cuando Keyserver.ubuntu.com está abajo?  ( What to do when keyserver ubuntu com is down ) 
Qué sucede si subo una llave de revocar a otro llave de acceso diferente al Ubuntu Keyserver; ¿Se sincronizarán automáticamente? ...

0  Firmar automáticamente los archivos de paquete de DUBUILD y Subir con DUTPUT  ( Automatically sign package files from debuild and upload with dput ) 
He creado un paquete de origen para i biblioteca en la que estoy trabajando. Yo uso debuild para construirlo y luego puedo cargarlo con éxito dput . Ahor...

3  Restaurando archivos GPG en Ubuntu One  ( Restoring gpg files in ubuntu one ) 
Estoy tratando de restaurar mi copia de seguridad de Ubuntu One, pero los archivos restaurados tienen la extensión de archivo .gpg. No lo hago ahora cómo extr...

2  Software y actualizaciones (Software-Properties-GTK): 'EofError: Data Marshal Demasiado corto'  ( Software updates software properties gtk eoferror marshal data too short ) 
No puedo abrir software y amplificador; Actualiza la herramienta en 14.04 y obtenga el siguiente error: Aquí está la salida completa de apt-get update ...

428  ¿Cómo fijo el error de GPG "NO_PUBKEY"?  ( How do i fix the gpg error no pubkey ) 
Añadí algunos repositorios adicionales con el programa de fuentes de software. Pero cuando recojo la base de datos del paquete, recibo un error como el siguie...

17  APT Actualizar Error de firma en Ubuntu 20.04 Contenedor en el brazo  ( Apt update throws signature error in ubuntu 20 04 container on arm ) 
Estoy tratando de construir imágenes Docker de Raspberry Pi, pero siempre estoy teniendo el mismo error, similar a © one , > este y este . Mientras ejecu...

0  No puedo firmar compromisos con git  ( Cant sign commits with git ) 
Estoy tratando de configurar Git para firmar todos mis comisiones. GPG funciona bien para mí por sí mismo, al igual que Git. Sin embargo, cuando habilito la f...

2  ¿Cómo podría usar la curva 25519 con GPG2 bajo 16.04?  ( How could i use the curve 25519 with gpg2 under 16 04 ) 
Quiero usar la curva elíptica 25519 con gpg2 . Yo uso GPG2 2.1.11. Leí que podría usar la curva25519. Pero no pude elegirlo. Creo que el problema es que mi...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos