Por que recebo este aviso do APT: A assinatura por chave […] usa um algoritmo de resumo fraco (SHA1)?

Estou hospedando um repositório Debian privado para algum código personalizado do Raspberry Pi. Eu originalmente construí o software em Raspbian Jessie (versão 8), gerava uma chave GPG que eu usava para assinar o repositório e executava sudo apt-key add ... em todos os dispositivos, para garantir que eles pudessem autenticar meu repositório. Isso funcionou bem, até que recentemente eu adicionei alguns novos dispositivos executando o Raspbian Stretch (versão 9). Mesmo que eu adicionei exatamente a mesma chave GPG para eles, aqui está a saída que vejo quando eu corro sudo apt-get update :

W: GPG error: http://url.of.private.repo stable Release: The following signatures were invalid: 95F9B44CE35F40B759D59C2A77E4184C595493B1
W: The repository 'http://url.of.private.repo stable Release' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

No entanto, isso só acontece nas caixas mais novas. No Pis que ainda estão executando o Jessie, eu posso executar sudo apt-get update tudo que eu quero e ele não me dá nenhum aviso de autenticação.

Por que o Pis executando o Stretch acha que a chave GPG é inválida, apesar de todos compartilharem a mesma chave? Eu poderia gerar uma nova chave em uma caixa rodando o Stretch, mas estou esperando evitar adicionar novas chaves GPG a cada uma das caixas do Jessie. (Neste momento eu tenho apenas um punhado de novas caixas rodando o Stretch, enquanto ~ 200 das caixas ainda estão rodando o Jessie.) O que posso fazer para convencer as caixas Stretch que essa chave GPG é, de fato, válida?

Conforme solicitado, abaixo está a saída do comando sudo apt-get -o Debug::Acquire::gpgv=true update , em ambas as plataformas:

• Saída de depuração do Jessie
• Expandir saída de depuração