40807 2021-08-25 01:19:22 +0300 Signature strength check for build tags 2021-11-18 21:19:29 +0300 1 1 2 Infrastructure Infrastructure girar unspecified x86 Linux NEW P5 enhancement --- 1 vt placeholder glebfm ldv cas oldest_to_newest 202022 0 vt 2021-08-25 01:19:22 +0300 Предлагаю сделать две проверки при приеме задания на сборку — на слабые подписи тегов (использующие sha1) и слабые ключи или само-подписи в ключах подписывающих эти теги. Первое время выводить warning. После введения этой проверки надо будет: 1. Для улучшения подписи добавить в ~/.gnupg/gpg.conf `personal-digest-preferences SHA512 SHA384 SHA256`. Так же не помешает обновить в системе пакет gnupg до 1.4.23-alt3, если используется старый gpg. 2. Слабые ключи перегенерировать. 3. Для исправления самоподписи у ключа надо его как-то пере-подписать. 4. Как я понимаю, есть ещё аналогичная проблема с srpm. Прошу завести отдельный баг про это. 202030 1 vt 2021-08-25 05:05:29 +0300 > 4. Как я понимаю, есть ещё аналогичная проблема с srpm. Прошу завести > отдельный баг про это. Для справки: Посмотреть подписи на rpm пакете можно в тэгах RSAHEADER, SIGGPG, DSAHEADER и SIGPGP - с форматом :armor. Посмотреть, какие алгоритмы в ней используются можно с помощью `gpg --list-packets`, `pgpdump` и `sq packet dump` (у нас нет). Формат `:pgpsig` так же покажет кратко что нужно.