Bug 40807

Summary: Signature strength check for build tags
Product: Infrastructure Reporter: Vitaly Chikunov <vt>
Component: girarAssignee: placeholder <placeholder>
Status: NEW --- QA Contact: Andrey Cherepanov <cas>
Severity: enhancement    
Priority: P5 CC: glebfm, ldv
Version: unspecified   
Hardware: x86   
OS: Linux   

Description Vitaly Chikunov 2021-08-25 01:19:22 MSK 
Предлагаю сделать две проверки при приеме задания на сборку — на слабые подписи тегов (использующие sha1) и слабые ключи или само-подписи в ключах подписывающих эти теги. Первое время выводить warning.

После введения этой проверки надо будет:

1. Для улучшения подписи добавить в ~/.gnupg/gpg.conf `personal-digest-preferences SHA512 SHA384 SHA256`. Так же не помешает обновить в системе пакет gnupg до 1.4.23-alt3, если используется старый gpg.
2. Слабые ключи перегенерировать.
3. Для исправления самоподписи у ключа надо его как-то пере-подписать.
4. Как я понимаю, есть ещё аналогичная проблема с srpm. Прошу завести отдельный баг про это.
Comment 1 Vitaly Chikunov 2021-08-25 05:05:29 MSK 
> 4. Как я понимаю, есть ещё аналогичная проблема с srpm. Прошу завести
> отдельный баг про это.

Для справки: Посмотреть подписи на rpm пакете можно в тэгах RSAHEADER, SIGGPG, DSAHEADER и SIGPGP - с форматом :armor. Посмотреть,  какие алгоритмы в ней используются можно с помощью `gpg --list-packets`, `pgpdump` и `sq packet dump` (у нас нет). Формат `:pgpsig` так же покажет кратко что нужно.