GPG assinado apropriadamente não funciona como esperado

1

Hospedamos alguns de nossos próprios pacotes de software como debs em um repositório próprio. Para fins de prototipagem, estamos executando "não autenticado". Agora estamos tentando fazer as coisas mais corretamente e fazer toda a coisa do GPG. O que tentei, apenas para teste, é o seguinte:

1) Crie uma chave com gpg-gen

~$ gpg --list-keys
/home/me/.gnupg/pubring.gpg
--------------------------------
pub   4096R/BBBBB39F 2017-03-09
uid                  Someone Somebody <[email protected]>
sub   4096R/129E9336 2017-03-09

(que btw, é a coisa SUB lá?)

2) aptly publish ... Isso me pede minha senha para a chave, por isso deve estar fazendo algo com a chave nesse ponto.

3) exporte a chave usando gpg —export —armor > somefile.pubkey

4) copie alguns arquivos.pubkey para uma máquina de teste

5) execute sudo apt-key add somefile.pubkey

sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2017-03-09 [SC]
     E51B E216 4658 FB8B 6E42  8A09 F9BC EF4C BBBB B39F
uid           [ unknown] Someone Somebody <[email protected]>
sub   rsa4096 2017-03-09 [E]
…
…
…

Então, parece ter chegado lá. A sub-coisa aparece de forma diferente agora?

6) E finalmente, sudo apt-get update :

~$ sudo apt-get update
Hit:1 http://ftp.us.debian.org/debian stretch InRelease
Hit:2 http://ftp.us.debian.org/debian stretch-updates InRelease     
Hit:3 http://security.debian.org stretch/updates InRelease          
Get:4 http://our.aptly.repo stretch InRelease [2317 B]
Ign:4 http://our.aptly.repo stretch InRelease            
Fetched 2317 B in 9s (256 B/s)                                                 
Reading package lists... Done
W: GPG error: http://our.aptly.repo stretch InRelease: The following signatures were invalid: E51BE2164658FB8B6E428A09F9BCEF4CBBBBB39F
W: The repository 'http://our.aptly.repo stretch InRelease' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

Eu não entendo o que está acontecendo aqui. A ofensa parece ser que algo não está assinado? Que passo eu senti falta?

    
por Travis Griggs 10.03.2017 / 17:23

1 resposta

1

Uma instalação estendida do Debian não aceita mais assinaturas SHA1. No entanto, o Aptly usou o SHA1 até a v0.9.7 ( PR relevante , observe que ele também foi retornado para a v0.9.6. 1). Eu suspeito que a versão do Aptly que você está usando seja mais antiga que isso. Em caso afirmativo, considere adicionar o repo à sua sources.list.

    
por 13.03.2017 / 19:53