APT 1.2.7 e l’errore “weak digest” su Ubuntu 16.04 e Debian unstable: non fatevi prendere dal panico

Marzo 17, 2016 Marco Giannini

A seguito dell’arrivo di APT 1.2.7 su Ubuntu 16.04 LTS (e derivate) e su Debian unstable è apparso un inquietante messaggio di errore riguardante i repository di terze parti (come Chrome) o i PPA. Vediamo di capire perché nasce l’errore e perché noi utilizzatori non dobbiamo farci prendere dal panico.

L’aggiornamento e il messaggio di errore

Gli utenti Debian unstable e Ubuntu 16.04 LTS (e derivate) hanno da poco ricevuto l’aggiornamento 1.2.7 di APT.

A seguito di questo aggiornamento, in caso di update dei repository di terze parti, apparirà un messaggio di avviso che recita più o meno così

per gli utenti Debian unstable


W: gpgv:/var/lib/apt/lists/apt.example.com_debian_dists_sid_InRelease: The repository is insufficiently signed by key

1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)

per gli utenti Ubuntu 16.04 LTS (e derivate)


W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_nomeppa_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key

1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)

Nel mio caso l’errore si è manifestato sia con il repository di Google Chrome con un messaggio:

W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release No Hash entry in Release file /var/lib/apt/lists/dl.google.com_linux_chrome_deb_dists_stable_Release, which is considered strong enough for security purposes

che sul repository di launchpad del tema Paper (è l’unico PPA che ho aggiunto):

W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_snwh_pulp_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key D320D0C30B02E64C5B2BB2743766223989993A70 (weak digest)

seguito da

E: Impossibile scaricare alcuni file di indice: saranno ignorati o verranno usati quelli vecchi.

Cosa significa?

A chiarire la vicenda è arrivato lo sviluppatore Julian Andres Klode che, sul suo blog ha postato alcune informazioni a riguardo. Stando a quanto si apprende il messaggio di errore è legato ad alcuni cambiamenti che sono stati apportati ad APT 1.2.7 che ora considera il supporto SHA-1 non più affidale. Le firme SHA-1 saranno ancora utilizzate in aggiunta a quelle SHA-2 ma come conseguenza apparirà tale messaggio di avviso.

Il passaggio al nuovo algoritmo SHA-2 e la disattivazione totale del supporto a SHA-1 per le firme GPG avverrà, su Ubuntu 16.04 LTS, a Gennaio 2017.

Gli utenti comuni non devono preoccuparsi o farsi prendere dal panico in quanto il tutto sarà risolto quanto prima a monte.