APT 1.2.7 e l’errore “weak digest” su Ubuntu 16.04 e Debian unstable: non fatevi prendere dal panico

By Marco Giannini

gpg%2Berror%2Bweak
A seguito dell’arrivo di APT 1.2.7 su Ubuntu 16.04 LTS (e derivate) e su Debian unstable è apparso un inquietante messaggio di errore riguardante i repository di terze parti (come Chrome) o i PPA. Vediamo di capire perché nasce l’errore e perché noi utilizzatori non dobbiamo farci prendere dal panico.

L’aggiornamento e il messaggio di errore

Gli utenti Debian unstable e Ubuntu 16.04 LTS (e derivate) hanno da poco ricevuto l’aggiornamento 1.2.7 di APT.
A seguito di questo aggiornamento, in caso di update dei repository di terze parti, apparirà un messaggio di avviso che recita più o meno così
per gli utenti Debian unstable

W: gpgv:/var/lib/apt/lists/apt.example.com_debian_dists_sid_InRelease: The repository is insufficiently signed by key


1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)


per gli utenti Ubuntu 16.04 LTS (e derivate)

W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_nomeppa_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key


1234567890ABCDEF0123456789ABCDEF01234567 (weak digest)


Nel mio caso l’errore si è manifestato sia con il repository di Google Chrome con un messaggio:

W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release No Hash entry in Release file /var/lib/apt/lists/dl.google.com_linux_chrome_deb_dists_stable_Release, which is considered strong enough for security purposes

che sul repository di launchpad del tema Paper (è l’unico PPA che ho aggiunto):

W: gpgv:/var/lib/apt/lists/ppa.launchpad.net_snwh_pulp_ubuntu_dists_xenial_InRelease: The repository is insufficiently signed by key D320D0C30B02E64C5B2BB2743766223989993A70 (weak digest)

seguito da

E: Impossibile scaricare alcuni file di indice: saranno ignorati o verranno usati quelli vecchi.

Cosa significa?

A chiarire la vicenda è arrivato lo sviluppatore Julian Andres Klode che, sul suo blog ha postato alcune informazioni a riguardo. Stando a quanto si apprende il messaggio di errore è legato ad alcuni cambiamenti che sono stati apportati ad APT 1.2.7 che ora considera il supporto SHA-1 non più affidale. Le firme SHA-1 saranno ancora utilizzate in aggiunta a quelle SHA-2 ma come conseguenza apparirà tale messaggio di avviso.

Il passaggio al nuovo algoritmo SHA-2 e la disattivazione totale del supporto a SHA-1 per le firme GPG avverrà, su Ubuntu 16.04 LTS, a Gennaio 2017.
Gli utenti comuni non devono preoccuparsi o farsi prendere dal panico in quanto il tutto sarà risolto quanto prima a monte.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.