Apt : "The repository is insufficiently signed"

Support Debian
#1

Bonjour,

Depuis quelques jours, APT me fait un nouveau message à chaque “update” pour les dépôts non officiels dans mon sources.list :

The repository is insufficiently signed

Voici mon sources.list :

## Debian unstable - dépôts officiels

deb http://ftp.fr.debian.org/debian/ unstable main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ unstable main contrib non-free

## Debian testing - dépôts officiels

deb http://ftp.fr.debian.org/debian/ testing main contrib non-free

deb http://security.debian.org/ testing/updates main contrib non-free

## Debian stable - dépôts officiels

deb http://ftp.fr.debian.org/debian/ stable main contrib non-free
deb http://ftp.fr.debian.org/debian/ stable-updates main contrib non-free

deb http://security.debian.org/ stable/updates main contrib non-free

#------
# samsung printer
deb http://www.bchemnet.com/suldr/ debian extra
# Deb-multimedia
deb http://www.deb-multimedia.org sid main non-free
# SpiderOakONE
deb http://apt.spideroak.com/debian/ stable non-free

et le message complet :

# apt-get update
Atteint:1 http://ftp.fr.debian.org/debian unstable InRelease
Atteint:2 http://www.deb-multimedia.org sid InRelease                                                                                  
Atteint:3 http://ftp.fr.debian.org/debian testing InRelease                                                                            
Atteint:4 http://security.debian.org testing/updates InRelease                                                                         
Ign:5 http://ftp.fr.debian.org/debian stable InRelease                                                                           
Atteint:6 http://security.debian.org stable/updates InRelease                                                                          
Atteint:7 http://ftp.fr.debian.org/debian stable-updates InRelease                                                                     
Atteint:8 http://ftp.fr.debian.org/debian stable Release                                                                               
Ign:9 http://download.opensuse.org/repositories/home:/selmf/Debian_8.0  InRelease                                                      
Atteint:10 http://www.bchemnet.com/suldr debian InRelease                                                                         
Atteint:11 http://download.opensuse.org/repositories/home:/selmf/Debian_8.0  Release            
Ign:12 http://apt.spideroak.com/debian stable InRelease                                         
Réception de:13 http://apt.spideroak.com/debian stable Release [1 025 B]
Réception de:15 http://apt.spideroak.com/debian stable Release.gpg [189 B]
1 214 o réceptionnés en 0s (1 628 o/s)                        
Lecture des listes de paquets... Fait
W: gpgv:/var/lib/apt/lists/www.bchemnet.com_suldr_dists_debian_InRelease: The repository is insufficiently signed by key 52C1D92CE6FC35F636B045C3C95104E509BAC46D (weak digest)
W: gpgv:/var/lib/apt/lists/download.opensuse.org_repositories_home:_selmf_Debian%5f8.0_Release.gpg: The repository is insufficiently signed by key 69CD0BB29BCA799AB242B1723F3411BE43F8BC1F (weak digest)
W: gpgv:/var/lib/apt/lists/partial/apt.spideroak.com_debian_dists_stable_Release.gpg: The repository is insufficiently signed by key FE45E5330B11DCF03247EF49A6FF22FF08C15DD0 (weak digest)
W: Failed to fetch http://apt.spideroak.com/debian/dists/stable/Release  No Hash entry in Release file /var/lib/apt/lists/partial/apt.spideroak.com_debian_dists_stable_Release, which is considered strong enough for security purposes
E: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

Je me suis baladé sur cette page sans trouver de solution.

Je peux ajouter autant de fois que je veux les clés avec “apt-key add”, toujours le même message. Des idées pour l’enlever ?

#2

Malheureusement je pense que tu ne peux rien faire, les signatures à base uniquement de SHA1 ne sont plus acceptées par APT car trop peux sécurisées.
Mise à part un effort de la part des maintenur des dépôts pour associer une signatures SHA2 à la signatures déjà en place il te faudra te résoudre à :slight_smile:

  • soit ne pas utiliser ce dépôts.
  • soit pousser au cul les maintenurs pour qu’il fasse le nécessaire.

Ce comportements est assez récent et fais suite au retraits ces dernier temps de nombre de cyphers et de méthode de chiffrements devenues obsolètes et pas assez sécurisées.

un peu de lecture : Clarifications and updates on APT + SHA1

#3

Exact, j’ai le même problème avec les dépôts Google pour Chrome duquel le paquet pepperflash récupère la librairie nécessaire pour Flash dans Chromium et pour Freshplayer avec Firefox…
La solution temporaire : aller chercher les paquets manuellement.

#4

Ok, Merci pour vos réponses ; je me doutais qu’il s’agissait de quelque chose dans le genre.

Je laisse cette question ouverte au cas où quelqu’un ait une astuce pour désactiver le message.