APTリポジトリーの署名に使用する鍵と安全性の強化
2024年2月28日、現在開発中の「Ubuntu 24.04 LTS」でAPTリポジトリーの署名に使用する鍵の仕様が変更されます。
リポジトリーの公開鍵アルゴリズム
リポジトリーの署名に使用する鍵は、何かしらの公開鍵アルゴリズムを用いて生成しています。公開鍵アルゴリズムには複数のアルゴリズムがあり、鍵を生成する時にいずれかのアルゴリズムを指定して鍵を生成します。
さてアルゴリズムによってセキュリティーの強度が異なります。
最初は安全なアルゴリズムとして認識されていたアルゴリズムでも、時間の経過と共に脆弱なアルゴリズムとして認識されるケースもあります。
例えばリポジトリーの署名に使用されている1024bit RSAは、少なくとも5年以上前から安全ではないと考えられています。
利用可能なアルゴリズム
「Ubuntu 24.04 LTS」ではセキュリティー強化のため、以下のいずれかのアルゴリズムを用いて鍵を生成する必要があります。- 少なくとも2048 bit以上の強度を持つRSA
- Ed25519
- Ed448
段階的な移行
まず最初の段階として、「apt 2.7.13」で安全ではないアルゴリズムを使用しているリポジトリーに対し警告が表示されます。次にすべてのPPAの再署名が完了したら、この警告がエラーとして扱われるようになります。
ユーザーはどうすればいいの?
何も気しなくて良いです。本件はリポジトリーの管理者が影響を受ける内容です。
PPAの管理者なんだけど、何をすればよいの?
すべてのPPAは、順次4096bit RSA鍵にアップグレードされていきます。この作業は「Ubuntu 24.04 LTS」のリリースまでに完了する予定です。
ですのでPPAでユーザーにパッケージを提供しているPPAの管理者は、特に何もすることはないです。
現在開発版「Ubuntu 24.04 LTS」を利用しており、鍵のアップグレード前にPPAを登録した場合は、apt利用時に警告が表示されます。
その場合でも再度PPAを登録し直さなくても済むように、「add-apt-repository」で簡単に新しい鍵に移行する機能が導入される予定です。
サードパーティーのリポジトリーの管理者は?
本件に合わせ鍵をアップグレードしてください。移行に伴うアドバイスは、上記リンク先を参照してください。
