reprepro：キーによる署名は弱いダイジェストアルゴリズム（SHA1）を使用します

Question

Repreproを使用していくつかの内部リポジトリをホストしています。

クライアントをUbuntu 16.04にアップグレードした後、apt-get updateは「InRelease：Signature by key ... uses weak weak algorithm（SHA1）」という警告を出します。

InReleaseファイルは次のように始まります。

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

そのため、repreproはInReleaseファイルにSHA1で署名しました。 SHA256またはSHA512に変更するにはどうすればよいですか？

Joe Damato · Accepted Answer

これを修正するには、repreproを実行するユーザーアカウントの~/.gnupg/gpg.confファイルを変更し、この行をファイルdigest-algo sha256に追加します。このユーザーがGPGで作成したすべての署名は、デフォルトでSHA256ダイジェストアルゴリズムを使用するため、repreproによって作成された署名もsha256になります。

GPG、APT、Debianパッケージの詳細を知りたい場合は、 DebianパッケージとAPTリポジトリの署名と検証が役立つかもしれないという包括的なブログ記事を書きました。