A mensagem de aviso não é sobre o algoritmo de criptografia (4k chaves RSA são consideradas totalmente boas e melhores práticas agora). O algoritmo digest é outra coisa: o algoritmo de hash aplicado no corpo da mensagem (no seu caso, os pacotes ou listas de pacotes) que são então assinados. O GnuPG tem um padrão bastante conservador para permanecer compatível, mas esses são superados lentamente pelos avanços feitos na criptoanálise.
Você não precisa criar uma nova chave, mas simplesmente alterar as configurações do GnuPG. As propostas do blog do administrador Debian ainda estão bem e o ajudam a definir padrões razoáveis que são bastante um pouco overcautious:
-
Configure as preferências a serem usadas pelo GnuPG (para assinar mensagens, criptografar para outros, ...):
cat >>~/.gnupg/gpg.conf <<EOF personal-digest-preferences SHA256 cert-digest-algo SHA256 default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed EOF -
Definindo algoritmos preferenciais na sua chave para serem usados por outras pessoas (ao mesmo tempo, adiciona uma nova assinatura própria com as configurações atualizadas do # 1 acima):
$ gpg --edit-key $KEYID Command> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed Command> save
No futuro, os algoritmos de resumo considerados seguros devem ser escolhidos pelo GnuPG.