Я имею дело с репозиторием Debian, который, очевидно, содержит файл InRelease, который может быть подписан таким образом, что больше не подходит .Симптом заключается в том, что клиенты получают предупреждение The repository '... InRelease is not signed при запуске apt-get update.
InRelease содержит разделы, начинающиеся с -----BEGIN PGP SIGNED MESSAGE----- и -----BEGIN PGP SIGNATURE-----, поэтому оно подписано, и я уже настроилмои настройки PGP personal-digest-preferences и personal-cipher-preferences, чтобы исключить использование SHA-1.Но чего-то все еще не хватает.
Мой вопрос таков: когда я проверяю фактическую сигнатуру (броня ASCII между ----BEGIN PGP SIGNATURE----- и -----END PGP SIGNATURE-----), есть ли способ определить, какие алгоритмы использовались при его создании, иКонкретно ли ША-1 послужил при его создании?Я думаю, что ответ - нет, но я хотел бы услышать мнение эксперта.
ОБНОВЛЕНИЕ Первая строка после -----BEGIN PGP SIGNATURE----- читает Hash: SHA256, так что выглядит хорошо (так как я 'мы сначала выбрали SHA256 в настройках предпочтений), но проблема все еще сохраняется.
ОБНОВЛЕНИЕ Теперь я исключил SHA-1 из индексов, вызвав apt-ftparchive packages и apt-ftparchive release (для создания файлов Packages и Releases соответственно) с дополнительными параметрами --no-sha1, но проблема все еще сохраняется.