Policy will reject signature within a year, see --audit for details

samoht · 2025/04/28, 09:52:19

Neuerdings wirft der übliche Befehl

# apt update
beim Aktualisieren von Nicht-Debian-Quellen (z. B. Veeam, Softmaker, Plex) Warnungen aus:

Warning: ... Policy will reject signature within a year, see --audit for details

Wo, in welcher Manpage, stehen die Details über --audit?

Recently, the usual command

Code Select

# apt update
throws warnings when updating non-Debian sources (e.g. Veeam, Softmaker, Plex):

Code Select

Warning: ... Policy will reject signature within a year, see --audit for details

Where, in which man page, are the details about --audit?

devil · 2025/04/28, 10:03:18

Habe ich bisher nicht gesehen, obwohl ich auch Softmaker in den Quellen habe (softmaker.sources, softmaker.list.bak). Hast du evtl. die betroffenen Einträge noch nicht auf .sources umgestellt?

towo · 2025/04/28, 10:19:34

für Softmake kann ich das bestätigigen, auch mit Umstellung auf .sources:

Code Select

towo:Defiant> cat softmaker.sources
Types: deb
URIs: http://shop.softmaker.com/repo/apt/
Suites: stable
Components: non-free
Architectures: amd64
Signed-By: /etc/apt/keyrings/linux-repo-public.asc

apt update --audit:

Code Select

Warnung: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details
Audit: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is:
   Signing key on CC7D2EDF4808EFFA0E00FC723413DA98AA3E7F5E is not bound:
              No binding signature at time 2025-03-18T09:13:05Z
     because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance
     because: SHA1 is not considered secure since 2026-02-01T00:00:00Z

hendrikL · 2025/04/28, 15:09:22

Es könnte etwas damit zu tun haben.

Code Select


apt (3.0.1) unstable; urgency=medium

  [ Laurent Bigonville ]
  * Remove boggus option in French manpage translation

  [ Julian Andres Klode ]
  * Update Sequoia crypto policy.
    Move our cut-offs to February to align with Sequoia, and cut-off more:
    - 2024-02: DSA keys retroactively (align with GnuPG config)
    - 2026-02: SHA224 hashes
    - 2028-02: Brainpool keys (align closer with GnuPG backend)
    - 2030-02: RSA2048 keys
    These algorithms will not be valid starting on those cut-off dates.
  * sqv: Refactor execution of sqv into separate method
  * sqv: Warn about signatures that will be rejected by policy within a year

 -- Julian Andres Klode <jak@debian.org>  Fri, 25 Apr 2025 23:08:27 +0200

Code Select


~/apt-3.0.1/debian$ cat NEWS 

apt (2.9.24) unstable; urgency=medium

  /etc/apt/trusted.gpg is no longer trusted. Setting the Dir::Etc::trusted
  option manually continues to work for some more time.

  sources.list(5) entries without the Signed-By field are deprecated;
  migrate any legacy entries to the deb822 .sources format. See the
  apt-secure(8) manual page for best practices for signer configuration.
  This deprecates the /etc/apt/trusted.gpg.d directory.

 -- Julian Andres Klode <jak@debian.org>  Tue, 21 Jan 2025 12:17:36 +0100

apt (2.9.19) unstable; urgency=medium

  This release switches to OpenSSL for hashing and TLS, replacing the
  GnuTLS and gcrypt libraries.

  This release switches to Sequoia for OpenPGP verification on supported
  Debian platforms. A Sequoia policy override enabling SHA1 self-signatures
  until 2026 is included. To override the policy, the following environment
  variables and files are considered:

  * The APT_SEQUOIA_CRYPTO_POLICY environment variable, and failing that:
    - /etc/crypto-policies/back-ends/apt-sequoia.config,
    - /var/lib/crypto-config/profiles/current/apt-sequoia.config
  * The SEQUOIA_CRYPTO_POLICY environment variable, and failing that:
    - /etc/crypto-policies/back-ends/sequoia.config
    - /var/lib/crypto-config/profiles/current/sequoia.config

 -- Julian Andres Klode <jak@debian.org>  Mon, 23 Dec 2024 12:16:22 +0100

hsp · 2025/04/28, 15:15:53

Gleiches mit weechat Repo. Das problem ist SHA1 oder noch schlechter. Die Keys müssen erneuert werden. Apt mag das nicht mehr in Zukunft.

...

eriefisher · 2025/04/29, 13:06:49

Dropbox sources also triggering the message.

devil · 2025/05/15, 11:53:34

Die Eingabe von

Code Select

sudo apt update --audit gibt ausführliche Auskunft. Das Problem müssen die jeweiligen Entwickler/Firmen beseitigen. Wer bis dahin von den Fehlermeldungen verschont bleiben möchte, kann das Ablaufdatum von sha1 in

Code Select

/usr/share/apt/default-sequoia.config weiter in die Zukunft schieben.

devil · 2025/05/15, 11:58:43

Quote from: devil on 2025/05/15, 11:53:34
Die Eingabe von
Code Select Expand
sudo apt update --audit gibt ausführliche Auskunft. Das Problem müssen die jeweiligen Entwickler/Firmen beseitigen. Wer bis dahin von den Fehlermeldungen verschont bleiben möchte, kann das Ablaufdatum von sha1 in
Code Select Expand
/usr/share/apt/default-sequoia.config weiter in die Zukunft schieben.

Ich rate auch, Entwickler/Firmen auf das Problem aufmerksam zu machen, denn nicht jeder hat das auf dem Schirm. Bei Softmaker habe ich das bereits getan.

harley-peter · 2025/05/15, 17:03:04

Auch bei Enpass gleiches Problem.

samoht · 2025/05/17, 09:43:34

Quotesudo apt update --audit

Vielen Dank Dir, @devil, für die Beantwortung meiner Frage und die Zusatzinfo.

Thank you, @devil, for answering my question and for the additional information.

devil · 2025/05/19, 13:52:55

Hier mal eine Antwortvorlage. Die habe ich an Softmaker geschickt. Ihr müsst da nur noch die entsprechende Firma/Software ändern:

Code Select

Hi, 

ich möchte Sie im Vorfeld darauf aufmerksam machen, dass Debian demnächst Signaturen, die mit SHA1 gehashed sind, ablehnen wird. Entsprechende Warnungen werden bereits in Debian Unstable ausgegeben:

Warnung: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details
Audit: http://shop.softmaker.com/repo/apt/dists/stable/InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is:
   Signing key on CC7D2EDF4808EFFA0E00FC723413DA98AA3E7F5E is not bound:
              No binding signature at time 2025-03-18T09:13:05Z
     because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance
     because: SHA1 is not considered secure since 2026-02-01T00:00:00Z

devil · 2025/05/20, 11:08:29

SoftMaker hat schnell reagiert und einen neuen Key mit SHA256 erstellt. Der muss zunächst als Root importiert werden:

Code Select

wget -qO- https://shop.softmaker.com/repo/linux-repo-public.key | gpg  --dearmor > /etc/apt/keyrings/softmaker.gpg

samoht · 2025/05/22, 11:10:47

Softmaker hat diese Aktualisierung des Schlüssels jetzt im Newsletter publiziert.

Update:
Auch nach Import des aktualisierten Schlüssels bleibt die Warnung:

Code Select

Warning: https://shop.softmaker.com/repo/apt/dists/stable/InRelease: Policy will reject signature within a year, see --audit for details

towo · 2025/05/22, 12:26:31

Nein, tut es nicht, du musst natürlich diesen Schlüssel auch in der entsprechenden .sources-Datei eintragen!

devil · 2025/05/22, 12:43:23

... und zwar mit der Zeile

Code Select

Signed-By: /etc/apt/keyrings/softmaker.gpg