[Xebian] Policy will reject signature within a year, see --audit

Support Debian
, ,
Tags: #<Tag:0x00007f74fbd59dd8> #<Tag:0x00007f74fbd59cc0> #<Tag:0x00007f74fbd59bd0>
#1

Bonjour,

En mettant ce matin à jour ma Xebian (Debian/Sid), je remarque que le dépôt xebian a un léger soucis de signature.

$: apt update
Atteint : 1 http://deb.debian.org/debian unstable InRelease
Atteint : 2 http://archive.xebian.org/debian unstable/ InRelease                                   
Atteint : 3 https://dl.google.com/linux/chrome/deb stable InRelease                                
Tous les paquets sont à jour.                   
Attention : http://archive.xebian.org/debian/unstable/InRelease: Policy will reject signature within a year, see --audit for details
Notification : Le fichier configuré « main/binary-i386/Packages » ne sera pas pris en compte car le dépôt « https://dl.google.com/linux/chrome/deb stable InRelease » ne prend pas en charge l'architecture « i386 »

$: apt update --audit
Atteint : 1 http://deb.debian.org/debian unstable InRelease
Atteint : 2 http://archive.xebian.org/debian unstable/ InRelease
Atteint : 3 https://dl.google.com/linux/chrome/deb stable InRelease
Tous les paquets sont à jour.                   
Attention : http://archive.xebian.org/debian/unstable/InRelease: Policy will reject signature within a year, see --audit for details
Audit : http://archive.xebian.org/debian/unstable/InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is:
   Signing key on 18DA4734318CFDBCA5779A07035D20FC7A24EF18 is not bound:
              No binding signature at time 2025-05-08T08:13:35Z
     because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance
     because: SHA1 is not considered secure since 2026-02-01T00:00:00Z
Notification : Le fichier configuré « main/binary-i386/Packages » ne sera pas pris en compte car le dépôt « https://dl.google.com/linux/chrome/deb stable InRelease » ne prend pas en charge l'architecture « i386 »

OK, donc si je comprends bien la clé GPG de signature du dépôt xebian n’est plus à jour depuis le 8/5/25. (En passant, « j’aime bien » le message affirmant que SHA1 n’est plus considéré comme sûr depuis… 1/2/26 !).

Bref, j’ai bien tenté un apt full-upgrade, installé le paquet debsigs, et j’ai bien tenté une recherche sur le web, mais rien ne ressort gagnant.

Une idée ?

#2

Tu peux essayer de purger la clé expiré manuellement puis de récupérer la nouvelle dans /usr/share/keyrings/

Tu ajoute ensuite le chemin dans le fichier de sources.

Par curiosité tu peux montrer le/les fichiers de sources ?

#3 
$ cat /etc/apt/sources.list.d/debian.sources 
# Modernized from /etc/apt/sources.list
Types: deb
URIs: http://deb.debian.org/debian/
Suites: unstable
Components: main  contrib non-free-firmware non-free
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

$ cat /etc/apt/sources.list.d/google-chrome.sources 
Types: deb
URIs: https://dl.google.com/linux/chrome/deb/
Suites: stable
Components: main 
Signed-By: /etc/apt/trusted.gpg.d/google-chrome.gpg

$ cat /etc/apt/sources.list.d/xebian.sources 
Types: deb
URIs: http://archive.xebian.org/debian/
Suites: unstable/
Components: 
Signed-By: 18DA4734318CFDBCA5779A07035D20FC7A24EF18

Euh, sauf que je n’en vois pas :

$ ll /usr/share/keyrings/
total 228
drwxr-xr-x   2 root root  4096 11 avril 21:55 ./
drwxr-xr-x 292 root root 12288 11 mai   11:25 ../
lrwxrwxrwx   1 root root    37 10 avril 00:05 debian-archive-bookworm-automatic.gpg -> debian-archive-bookworm-automatic.pgp
-rw-r--r--   1 root root  8700 10 avril 00:05 debian-archive-bookworm-automatic.pgp
lrwxrwxrwx   1 root root    46 10 avril 00:05 debian-archive-bookworm-security-automatic.gpg -> debian-archive-bookworm-security-automatic.pgp
-rw-r--r--   1 root root  8709 10 avril 00:05 debian-archive-bookworm-security-automatic.pgp
lrwxrwxrwx   1 root root    34 10 avril 00:05 debian-archive-bookworm-stable.gpg -> debian-archive-bookworm-stable.pgp
-rw-r--r--   1 root root   280 10 avril 00:05 debian-archive-bookworm-stable.pgp
lrwxrwxrwx   1 root root    37 10 avril 00:05 debian-archive-bullseye-automatic.gpg -> debian-archive-bullseye-automatic.pgp
-rw-r--r--   1 root root  8700 10 avril 00:05 debian-archive-bullseye-automatic.pgp
lrwxrwxrwx   1 root root    46 10 avril 00:05 debian-archive-bullseye-security-automatic.gpg -> debian-archive-bullseye-security-automatic.pgp
-rw-r--r--   1 root root  8709 10 avril 00:05 debian-archive-bullseye-security-automatic.pgp
lrwxrwxrwx   1 root root    34 10 avril 00:05 debian-archive-bullseye-stable.gpg -> debian-archive-bullseye-stable.pgp
-rw-r--r--   1 root root  2453 10 avril 00:05 debian-archive-bullseye-stable.pgp
lrwxrwxrwx   1 root root    26 10 avril 00:05 debian-archive-keyring.gpg -> debian-archive-keyring.pgp
-rw-r--r--   1 root root 55918 10 avril 00:05 debian-archive-keyring.pgp
lrwxrwxrwx   1 root root    31 10 avril 00:05 debian-archive-removed-keys.gpg -> debian-archive-removed-keys.pgp
-rw-r--r--   1 root root 72636 10 avril 00:05 debian-archive-removed-keys.pgp
lrwxrwxrwx   1 root root    35 10 avril 00:05 debian-archive-trixie-automatic.gpg -> debian-archive-trixie-automatic.pgp
-rw-r--r--   1 root root  8698 10 avril 00:05 debian-archive-trixie-automatic.pgp
lrwxrwxrwx   1 root root    44 10 avril 00:05 debian-archive-trixie-security-automatic.gpg -> debian-archive-trixie-security-automatic.pgp
-rw-r--r--   1 root root  8707 10 avril 00:05 debian-archive-trixie-security-automatic.pgp
lrwxrwxrwx   1 root root    32 10 avril 00:05 debian-archive-trixie-stable.gpg -> debian-archive-trixie-stable.pgp
-rw-r--r--   1 root root   962 10 avril 00:05 debian-archive-trixie-stable.pgp

???

Je trouve dans le répertoire /etc/apt/trusted.gpg.d/ celles-ci :

$ ll /etc/apt/trusted.gpg.d/
total 120
drwxr-xr-x  2 root root  4096 11 avril 21:55 ./
drwxr-xr-x 10 root root  4096  1 févr. 09:26 ../
-rw-r--r--  1 root root 11861 30 juil.  2023 debian-archive-bookworm-automatic.asc
-rw-r--r--  1 root root 11873 30 juil.  2023 debian-archive-bookworm-security-automatic.asc
-rw-r--r--  1 root root   461 30 juil.  2023 debian-archive-bookworm-stable.asc
-rw-r--r--  1 root root 11861 30 juil.  2023 debian-archive-bullseye-automatic.asc
-rw-r--r--  1 root root 11873 30 juil.  2023 debian-archive-bullseye-security-automatic.asc
-rw-r--r--  1 root root  3403 30 juil.  2023 debian-archive-bullseye-stable.asc
-rw-r--r--  1 root root 11861 10 avril 00:05 debian-archive-trixie-automatic.asc
-rw-r--r--  1 root root 11873 10 avril 00:05 debian-archive-trixie-security-automatic.asc
-rw-r--r--  1 root root  1384 10 avril 00:05 debian-archive-trixie-stable.asc
-rw-r--r--  1 root root 12775 12 mai   09:28 google-chrome.gpg
-rw-r--r--  1 root root  1193  8 sept.  2016 vanir-archive-keyring.gpg
-rw-r--r--  1 root root  1731 16 août   2024 xebian.key.binary.asc
-rw-r--r--  1 root root  1731 16 août   2024 xebian.key.chroot.asc
#4

A adapter du coup à mon avis, j’ai regardé et c’est vrai que c’ets le désert côté documentation Xebian :confused:

Je n’ai pas d’autre idée face à cette distribution exotique et sans documentation épaisse :confused:

#5

peut être que i386 n’est plus maintenu sur trixie ?
https://cdimage.debian.org/cdimage/daily-builds/daily/arch-latest/