[résolu] Key is stored in legacy trusted.gpg keyring

Christophe C · Le 28/10/2023, à 18:20

Le message d'erreur Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg) est-il 'normal' ? (les MAJ se font)

Dois-je faire quelque chose (ubuntu 23.04) ?

(chris - 6.5.0-9-generic) ~ : sudo apt update
[sudo] Mot de passe de chris : 
Atteint :1 http://fr.archive.ubuntu.com/ubuntu mantic InRelease
Atteint :2 http://fr.archive.ubuntu.com/ubuntu mantic-updates InRelease                        
Atteint :3 http://security.ubuntu.com/ubuntu mantic-security InRelease                         
Réception de :4 https://packages.microsoft.com/repos/edge stable InRelease [3569 B]           
3569 o réceptionnés en 1s (3156 o/s)                       
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
Tous les paquets sont à jour.
W: http://fr.archive.ubuntu.com/ubuntu/dists/mantic/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
W: http://fr.archive.ubuntu.com/ubuntu/dists/mantic-updates/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.
W: http://security.ubuntu.com/ubuntu/dists/mantic-security/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.

Dernière modification par Christophe C (Le 29/10/2023, à 10:14)

xubu1957 · Le 28/10/2023, à 18:22

Bonjour,

apt-key list

ls -l /etc/apt/sources.list.d

?

Vu askubuntu.com/questions/1403556/key-is-stored-in-legacy-trusted-gpg-keyring-after-ubuntu-22-04-update

nany · Le 28/10/2023, à 19:27

BONJOUR,

Christophe C a écrit :

Le message d'erreur Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg) est-il 'normal' ?

Si tu as fait des mises à niveau successives depuis une version où c’était encore l’usage de stocker les clés dans /etc/apt/trusted.gpg (ça commence quand même à dater) alors oui c’est normal.

Christophe C a écrit :

Dois-je faire quelque chose ?

Jusqu’à présent ce ne sont que des avertissements donc on peut vivre avec.

Si toutefois tu veux supprimer ces avertissements, au vu du retour d’apt-key list dans une mantic fraîchement installée :

nany@ubuntu-23-10-virtualbox:~$ apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg.d/ubuntu-keyring-2012-cdimage.gpg
------------------------------------------------------
pub   rsa4096 2012-05-11 [SC]
      8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
uid          [ inconnue] Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

/etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg
------------------------------------------------------
pub   rsa4096 2018-09-17 [SC]
      F6EC B376 2474 EDA9 D21B  7022 8719 20D1 991B C93C
uid          [ inconnue] Ubuntu Archive Automatic Signing Key (2018) <ftpmaster@ubuntu.com>

nany@ubuntu-23-10-virtualbox:~$

tu peux essayer ces commandes :

sudo apt-key --keyring /etc/apt/trusted.gpg export 991BC93C | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg

sudo apt-key --keyring /etc/apt/trusted.gpg export EFE21092 | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/ubuntu-keyring-2012-cdimage.gpg

Si ces exports ce sont bien passés tu peux supprimer les clés de /etc/apt/trusted.gpg :

sudo apt-key --keyring /etc/apt/trusted.gpg del 991BC93C

sudo apt-key --keyring /etc/apt/trusted.gpg del EFE21092

ou même carrément supprimer /etc/apt/trusted.gpg.

Source.

Astrolivier · Le 28/10/2023, à 19:30

ce n'est pas très grave, c'est parce que les bonnes pratiques sont en train d'être discutées et que ça va changer dans le futur.

https://stackoverflow.com/questions/735 … -see-the-d
traduction googgle

Il s'agit d'une discussion en cours sur la sécurité sous Linux, je ne peux donc que signaler ce qui se passe au moment de la rédaction. Les mises à jour du système pour certaines distributions Linux majeures fonctionnent sur une méthode dans laquelle apt-key stockerait toutes les clés d'authentification de tous vos référentiels de packages en un seul endroit. C'est pratique, mais cela présente des problèmes de sécurité potentiels. Les problèmes de sécurité potentiels sont enfin résolus. Cependant, les propositions actuelles de « correctif » sont trop complexes à mettre en œuvre pour la plupart des utilisateurs. Et si personne ne veut l’utiliser, ce n’est pas une vraie solution. Dans une grande distribution comme Ubuntu, vous verrez probablement un avertissement tel que "apt-key est obsolète" ou "La clé est stockée dans l'héritage...". Ceci n'est qu'un avertissement pour vous préparer à une future mise à jour. Espérons qu'une fois que les experts en sécurité décideront d'appliquer cette politique, il y aura un correctif simple pour la plupart des utilisateurs (par exemple, la prochaine mise à jour d'apt pourra "résoudre" discrètement le problème afin que les avertissements disparaissent).
Les utilisateurs avancés qui utilisent réellement des clés voudront peut-être être plus prudents. Veuillez lire et suivre immédiatement un article de blog fiable pour plus d'informations, tel que : https://itsfoss.com/apt-key-deprecated/

grilled !

edit :

dans l'article cité dans la citation, il est dit que brave donne une bonne pratique, je la mets ici pour info

https://brave.com/linux/?ref=itsfoss.com

sudo apt install curl

sudo curl -fsSLo /usr/share/keyrings/brave-browser-archive-keyring.gpg https://brave-browser-apt-release.s3.brave.com/brave-browser-archive-keyring.gpg

echo "deb [signed-by=/usr/share/keyrings/brave-browser-archive-keyring.gpg] https://brave-browser-apt-release.s3.brave.com/ stable main"|sudo tee /etc/apt/sources.list.d/brave-browser-release.list

sudo apt update

sudo apt install brave-browser

Dernière modification par Astrolivier (Le 28/10/2023, à 19:57)

Christophe C · Le 29/10/2023, à 08:25

@xubu1987

(chris - 6.5.0-9-generic) ~ : apt-key list
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2018-09-17 [SC]
      F6EC B376 2474 EDA9 D21B  7022 8719 20D1 991B C93C
uid          [ inconnue] Ubuntu Archive Automatic Signing Key (2018) <ftpmaster@ubuntu.com>

/etc/apt/trusted.gpg.d/microsoft-edge.gpg
-----------------------------------------
pub   rsa2048 2015-10-28 [SC]
      BC52 8686 B50D 79E3 39D3  721C EB3E 94AD BE12 29CF
uid          [ inconnue] Microsoft (Release signing) <gpgsecurity@microsoft.com>

(chris - 6.5.0-9-generic) ~ : ls -l /etc/apt/sources.list.d
total 4
-rw-r--r-- 1 root root 193 sept. 24 17:21 microsoft-edge.list

Merci à tous. Oui, j'avais vu que c'était pour des raisons de sécurité, que je comprends bien, mais j'aimerais solutionner le sujet en passant à la reco actuelle. Effectivement je mets à jours depuis des années (sans réinstallation), et je vais finir par être rattraper par la modernité

@Nany : tu proposes une solution en fonction de ma liste de clé. Pour éviter de tout planter, je voudrais être sur avant de lancer. Je crois avoir compris, mais ça m'angoisse un peu (bon, j'ai un timeshift, donc je peux tout réinstaller en 10 Mn, c'est pas non plus un drame).

Je devrais donc faire ça au vu de mes clés ?

sudo apt-key --keyring /etc/apt/trusted.gpg export 991BC93C | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg

sudo apt-key --keyring /etc/apt/trusted.gpg export BE1229CF | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg

Dernière modification par Christophe C (Le 29/10/2023, à 08:28)

nany · Le 29/10/2023, à 08:45

Bonjour,

Christophe C a écrit :

@Nany : tu proposes une solution en fonction de ma liste de clé…

Tu n’as qu’une seule clé dans /etc/apt/trusted.gpg, tu n’as donc qu’une commande à passer :

sudo apt-key --keyring /etc/apt/trusted.gpg export 991BC93C | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg

suivie de :

sudo apt-key --keyring /etc/apt/trusted.gpg del 991BC93C

Christophe C · Le 29/10/2023, à 10:13

Bon, alors j'ai lancé les 2 commandes.

(chris - 6.5.0-9-generic) ~ : sudo apt-key --keyring /etc/apt/trusted.gpg export 991BC93C | sudo gpg --dearmour -o /etc/apt/trusted.gpg.d/ubuntu-keyring-2018-archive.gpg
[sudo] Mot de passe de chris : 
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).

puis

(chris - 6.5.0-9-generic) ~ : sudo apt-key --keyring /etc/apt/trusted.gpg del 991BC93C
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
OK

Puis

(chris - 6.5.0-9-generic) ~ : sudo apt update
Atteint :1 https://packages.microsoft.com/repos/edge stable InRelease
Réception de :2 http://security.ubuntu.com/ubuntu mantic-security InRelease [109 kB]
Atteint :3 http://fr.archive.ubuntu.com/ubuntu mantic InRelease       
Réception de :4 http://fr.archive.ubuntu.com/ubuntu mantic-updates InRelease [109 kB]
Réception de :5 http://security.ubuntu.com/ubuntu mantic-security/main amd64 DEP-11 Metadata [2372 B]
Réception de :6 http://security.ubuntu.com/ubuntu mantic-security/universe amd64 DEP-11 Metadata [3860 B]
Réception de :7 http://fr.archive.ubuntu.com/ubuntu mantic-updates/main i386 Packages [19,8 kB]
Réception de :8 http://fr.archive.ubuntu.com/ubuntu mantic-updates/main amd64 Packages [52,7 kB]
Réception de :9 http://fr.archive.ubuntu.com/ubuntu mantic-updates/main amd64 DEP-11 Metadata [2372 B]
Réception de :10 http://fr.archive.ubuntu.com/ubuntu mantic-updates/universe i386 Packages [5788 B]
Réception de :11 http://fr.archive.ubuntu.com/ubuntu mantic-updates/universe amd64 Packages [16,1 kB]
Réception de :12 http://fr.archive.ubuntu.com/ubuntu mantic-updates/universe amd64 DEP-11 Metadata [3860 B]
324 ko réceptionnés en 6s (54,2 ko/s)                                            
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
Tous les paquets sont à jour.

Plus de message d'erreur, donc je suppose que je suis à jour. Merci nany !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 28/10/2023, à 18:20

[résolu] Key is stored in legacy trusted.gpg keyring

#2 Le 28/10/2023, à 18:22

Re : [résolu] Key is stored in legacy trusted.gpg keyring

#3 Le 28/10/2023, à 19:27

Re : [résolu] Key is stored in legacy trusted.gpg keyring

#4 Le 28/10/2023, à 19:30

Re : [résolu] Key is stored in legacy trusted.gpg keyring

#5 Le 29/10/2023, à 08:25

Re : [résolu] Key is stored in legacy trusted.gpg keyring

#6 Le 29/10/2023, à 08:45

Re : [résolu] Key is stored in legacy trusted.gpg keyring

#7 Le 29/10/2023, à 10:13

Re : [résolu] Key is stored in legacy trusted.gpg keyring

Pied de page des forums