Siduction Forum

Neuerdings wirft der übliche Befehl
# apt update
beim Aktualisieren von Nicht-Debian-Quellen (z. B. Veeam, Softmaker, Plex) Warnungen aus:
Warning: ... Policy will reject signature within a year, see --audit for details

Wo, in welcher Manpage, stehen die Details über --audit?

Recently, the usual command
# apt update
throws warnings when updating non-Debian sources (e.g. Veeam, Softmaker, Plex):
Warning: ... Policy will reject signature within a year, see --audit for details

Where, in which man page, are the details about --audit?

Habe ich bisher nicht gesehen, obwohl ich auch Softmaker in den Quellen habe (softmaker.sources, softmaker.list.bak). Hast du evtl. die betroffenen Einträge noch nicht auf .sources umgestellt?

für Softmake kann ich das bestätigigen, auch mit Umstellung auf .sources:

towo:Defiant> cat softmaker.sources
Types: deb
URIs: http://shop.softmaker.com/repo/apt/
Suites: stable
Components: non-free
Architectures: amd64
Signed-By: /etc/apt/keyrings/linux-repo-public.asc


apt update --audit:
Warnung: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details
Audit: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is:
   Signing key on CC7D2EDF4808EFFA0E00FC723413DA98AA3E7F5E is not bound:
              No binding signature at time 2025-03-18T09:13:05Z
     because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance
     because: SHA1 is not considered secure since 2026-02-01T00:00:00Z

Es könnte etwas damit zu tun haben.

apt (3.0.1) unstable; urgency=medium

  [ Laurent Bigonville ]
  * Remove boggus option in French manpage translation

  [ Julian Andres Klode ]
  * Update Sequoia crypto policy.
    Move our cut-offs to February to align with Sequoia, and cut-off more:
    - 2024-02: DSA keys retroactively (align with GnuPG config)
    - 2026-02: SHA224 hashes
    - 2028-02: Brainpool keys (align closer with GnuPG backend)
    - 2030-02: RSA2048 keys
    These algorithms will not be valid starting on those cut-off dates.
  * sqv: Refactor execution of sqv into separate method
  * sqv: Warn about signatures that will be rejected by policy within a year

-- Julian Andres Klode <jak@debian.org>  Fri, 25 Apr 2025 23:08:27 +0200



~/apt-3.0.1/debian$ cat NEWS

apt (2.9.24) unstable; urgency=medium

  /etc/apt/trusted.gpg is no longer trusted. Setting the Dir::Etc::trusted
  option manually continues to work for some more time.

  sources.list(5) entries without the Signed-By field are deprecated;
  migrate any legacy entries to the deb822 .sources format. See the
  apt-secure(8) manual page for best practices for signer configuration.
  This deprecates the /etc/apt/trusted.gpg.d directory.

-- Julian Andres Klode <jak@debian.org>  Tue, 21 Jan 2025 12:17:36 +0100

apt (2.9.19) unstable; urgency=medium

  This release switches to OpenSSL for hashing and TLS, replacing the
  GnuTLS and gcrypt libraries.

  This release switches to Sequoia for OpenPGP verification on supported
  Debian platforms. A Sequoia policy override enabling SHA1 self-signatures
  until 2026 is included. To override the policy, the following environment
  variables and files are considered:

  * The APT_SEQUOIA_CRYPTO_POLICY environment variable, and failing that:
    - /etc/crypto-policies/back-ends/apt-sequoia.config,
    - /var/lib/crypto-config/profiles/current/apt-sequoia.config
  * The SEQUOIA_CRYPTO_POLICY environment variable, and failing that:
    - /etc/crypto-policies/back-ends/sequoia.config
    - /var/lib/crypto-config/profiles/current/sequoia.config

-- Julian Andres Klode <jak@debian.org>  Mon, 23 Dec 2024 12:16:22 +0100




Gleiches mit weechat Repo. Das problem ist SHA1 oder noch schlechter. Die Keys müssen erneuert werden. Apt mag das nicht mehr in Zukunft.

...

Dropbox sources also triggering the message.

Die Eingabe von sudo apt update --audit gibt ausführliche Auskunft. Das Problem müssen die jeweiligen Entwickler/Firmen beseitigen. Wer bis dahin von den Fehlermeldungen verschont bleiben möchte, kann das Ablaufdatum von sha1 in /usr/share/apt/default-sequoia.config weiter in die Zukunft schieben.

Quote from: devil on 2025/05/15, 11:53:34
Die Eingabe von

Code Select Expand

sudo apt update --audit gibt ausführliche Auskunft. Das Problem müssen die jeweiligen Entwickler/Firmen beseitigen. Wer bis dahin von den Fehlermeldungen verschont bleiben möchte, kann das Ablaufdatum von sha1 in

Code Select Expand

/usr/share/apt/default-sequoia.config weiter in die Zukunft schieben.

Ich rate auch, Entwickler/Firmen auf das Problem aufmerksam zu machen, denn nicht jeder hat das auf dem Schirm. Bei Softmaker habe ich das bereits getan.

Auch bei Enpass gleiches Problem.

Quotesudo apt update --audit

Vielen Dank Dir, @devil, für die Beantwortung meiner Frage und die Zusatzinfo.

Thank you, @devil, for answering my question and for the additional information.

Hier mal eine Antwortvorlage. Die habe ich an Softmaker geschickt. Ihr müsst da nur noch die entsprechende Firma/Software ändern:

Hi,

ich möchte Sie im Vorfeld darauf aufmerksam machen, dass Debian demnächst Signaturen, die mit SHA1 gehashed sind, ablehnen wird. Entsprechende Warnungen werden bereits in Debian Unstable ausgegeben:

Warnung: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details
Audit: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is:
   Signing key on CC7D2EDF4808EFFA0E00FC723413DA98AA3E7F5E is not bound:
              No binding signature at time 2025-03-18T09:13:05Z
     because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance
     because: SHA1 is not considered secure since 2026-02-01T00:00:00Z


SoftMaker hat schnell reagiert und einen neuen Key mit SHA256 erstellt. Der muss zunächst als Root importiert werden:
wget -qO- https://shop.softmaker.com/repo/linux-repo-public.key | gpg  --dearmor > /etc/apt/keyrings/softmaker.gpg


Softmaker hat diese Aktualisierung des Schlüssels jetzt im Newsletter publiziert.

Update:
Auch nach Import des aktualisierten Schlüssels bleibt die Warnung:
Warning: https://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details

Nein, tut es nicht, du musst natürlich diesen Schlüssel auch in der entsprechenden .sources-Datei eintragen!

... und zwar mit der Zeile Signed-By: /etc/apt/keyrings/softmaker.gpg

Danke Euch, mein Fehler!
Ich sollte meine sources-Dateien gründlicher inspizieren  :-[

Quote from: devil on 2025/05/19, 13:52:55
Hier mal eine Antwortvorlage. Die habe ich an Softmaker geschickt. Ihr müsst da nur noch die entsprechende Firma/Software ändern:

Code Select Expand

Hi,

ich möchte Sie im Vorfeld darauf aufmerksam machen, dass Debian demnächst Signaturen, die mit SHA1 gehashed sind, ablehnen wird. Entsprechende Warnungen werden bereits in Debian Unstable ausgegeben:

Warnung: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details
Audit: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is:
   Signing key on CC7D2EDF4808EFFA0E00FC723413DA98AA3E7F5E is not bound:
              No binding signature at time 2025-03-18T09:13:05Z
     because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance
     because: SHA1 is not considered secure since 2026-02-01T00:00:00Z


Mit Dropbox zu kommunizieren ist lustig: https://www.dropbox.com/get_help/requests/25126592 (https://www.dropbox.com/get_help/requests/25126592)
Andreas kommt mir auch etwas KI-nstlich vor...  ::)