Bug 40807 - Signature strength check for build tags
Summary: Signature strength check for build tags
Status: NEW
Alias: None
Product: Infrastructure
Classification: Infrastructure
Component: girar (show other bugs)
Version: unspecified
Hardware: x86 Linux
: P5 enhancement
Assignee: placeholder@altlinux.org
QA Contact: Andrey Cherepanov
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-08-25 01:19 MSK by Vitaly Chikunov
Modified: 2021-11-18 21:19 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vitaly Chikunov 2021-08-25 01:19:22 MSK 
Предлагаю сделать две проверки при приеме задания на сборку — на слабые подписи тегов (использующие sha1) и слабые ключи или само-подписи в ключах подписывающих эти теги. Первое время выводить warning.

После введения этой проверки надо будет:

1. Для улучшения подписи добавить в ~/.gnupg/gpg.conf `personal-digest-preferences SHA512 SHA384 SHA256`. Так же не помешает обновить в системе пакет gnupg до 1.4.23-alt3, если используется старый gpg.
2. Слабые ключи перегенерировать.
3. Для исправления самоподписи у ключа надо его как-то пере-подписать.
4. Как я понимаю, есть ещё аналогичная проблема с srpm. Прошу завести отдельный баг про это.
Comment 1 Vitaly Chikunov 2021-08-25 05:05:29 MSK 
> 4. Как я понимаю, есть ещё аналогичная проблема с srpm. Прошу завести
> отдельный баг про это.

Для справки: Посмотреть подписи на rpm пакете можно в тэгах RSAHEADER, SIGGPG, DSAHEADER и SIGPGP - с форматом :armor. Посмотреть,  какие алгоритмы в ней используются можно с помощью `gpg --list-packets`, `pgpdump` и `sq packet dump` (у нас нет). Формат `:pgpsig` так же покажет кратко что нужно.