Вопрос или проблема
После обновления apt до версии >= 2.9.19 подписи SHA1 и RSA1024 отклоняются.
В его журнале изменений есть раздел, который гласит:
apt (2.9.19) unstable; urgency=medium
- Заменить GnuTLS и gcrypt на OpenSSL
- Заменить GnuPG на Sequoia на поддерживаемых платформах Debian
- методы: Добавить новый метод sqv
- debian: Добавить политику по умолчанию для разрешения самоподписей SHA-1 до 2026 года
- debian: Включить sqv в процесс сборки пакета
Поэтому я подумал, что это позволит включить политику для принятия подписей SHA1, но, возможно, я неправильно понял.
Для решения этой проблемы:
- Создайте папку для предоставления пользовательской политики для Sequoia
sudo mkdir -p /etc/crypto-policies/back-ends - В этой созданной папке создайте и отредактируйте файл пользовательской политики
sequoia.config
sudo nano /etc/crypto-policies/back-ends/sequoia.config - Вставьте это в его содержимое
[hash_algorithms]
sha1 = "always"
[asymmetric_algorithms]
rsa1024 = "always"
- Сохраните и закройте
nanoс помощьюCtrl+O,Ctrl+X
Теперь SHA1 и RSA1024 должны быть приняты apt. Однако, существуют причины, по которым эти алгоритмы больше не рекомендуются. Рассматривайте эту пользовательскую политику Sequoia как временное решение, пока создатели пакетов не откажутся от подписания своей работы этими алгоритмами. Затем измените политику обратно на более безопасную по умолчанию, например, удалив файл sequoia.config.
Ответ или решение
Широкая модернизация системы, особенно такой критически важной её части, как менеджер пакетов, может повлечь за собой ряд изменений и трудностей, связанных с поддержкой устаревших технологий и алгоритмов. В вашем случае после обновления apt до версии 2.9.19 и выше, SHA1 и RSA1024 подписи перестали поддерживаться. Это вызвано изменением криптографической библиотеки и отказом от старых стандартов безопасности. Новый менеджер пакетов теперь использует Sequoia вместо GnuPG для работы с ключами и подписями.
Теория
Проблема заключается в том, что алгоритмы SHA1 и RSA1024 больше не считаются безопасными в современных условиях киберугроз. Были задокументированы случаи, когда данные алгоритмы подвергались атакам, и их использование вызывает значительные риски для безопасности. С переходом на Sequoia и OpenSSL в apt, команда Debian решила удалить поддержку этих устаревших алгоритмов.
Пример
В changelog apt версии 2.9.19 указано, что был произведён переход на Sequoia. Это нововведение позволяет более гибко управлять политиками верификации подписей. Однако документированная настройка политики безопасности допускает использование SHA1 до 2026 года, что может ввести в заблуждение пользователей по вопросу совместимости.
Применение
Если у вас возникла ситуация, при которой жизненно необходимо продолжать использовать устаревшие алгоритмы (например, у вас существуют незаменимые пакеты или системы, которые их требуют), вы можете применить временное решение, создавая собственную политику безопасности в Sequoia. Для этого выполните следующие шаги:
-
Создайте каталог для настраиваемых политик:
sudo mkdir -p /etc/crypto-policies/back-ends -
Создайте и отредактируйте файл
sequoia.config:sudo nano /etc/crypto-policies/back-ends/sequoia.config -
Вставьте следующий текст в файл:
[hash_algorithms] sha1 = "always" [asymmetric_algorithms] rsa1024 = "always" -
Сохраните изменения и закройте редактор с помощью сочетаний клавиш
Ctrl+O, затемCtrl+X.
Обратите внимание, что данное решение является временным и рекомендуется как можно быстрее перейти на более безопасные алгоритмы, такие как SHA256 и RSA2048. Это не только повысит безопасность вашей системы, но и обеспечит её совместимость с будущими обновлениями и новыми стандартами.
В будущем, после перехода пакетов и систем на современные алгоритмы, следует вернуться к более безопасным настройкам, например, удалив файл sequoia.config.