Roxy-WI在AlmaLinux/Rocky Linux 9上的SHA-1签名问题解决方案

问题背景

在基于RHEL 9的系统（如AlmaLinux 9和Rocky Linux 9）上安装Roxy-WI时，用户可能会遇到GPG签名验证失败的问题。这是由于RHEL 9系列操作系统出于安全考虑，默认禁用了SHA-1哈希算法，而Roxy-WI的软件包仍在使用该算法进行签名。

错误现象

当用户尝试安装Roxy-WI时，系统会显示类似以下错误信息：

warning: Signature not supported. Hash algorithm SHA1 not available.
Key import failed (code 2). Failing package is: roxy-wi-8-1.0.1.noarch

临时解决方案

目前有两种临时解决方案可以绕过这个问题：

1. 降低系统加密策略级别（不推荐长期使用）： 执行以下命令并重启系统：

   update-crypto-policies --set DEFAULT:SHA1
   reboot
   

   这种方法会临时允许SHA-1签名验证，但会降低系统的整体安全级别。

2. 禁用GPG检查（适用于快速测试环境）： 编辑Roxy-WI的repo文件，将gpgcheck=1改为gpgcheck=0。这种方法完全跳过了包签名验证，仅建议在测试环境中使用。

长期解决方案

Roxy-WI开发团队已经意识到这个问题，并承诺将在未来的版本中更新签名算法，使用更安全的哈希算法（如SHA-256）来替代SHA-1。建议用户关注项目更新，及时升级到修复此问题的新版本。

安全建议

在等待官方修复期间，如果必须使用临时解决方案，建议：

• 优先考虑在测试环境中使用
• 如果用于生产环境，应评估潜在的安全风险
• 保持系统其他安全措施的有效性
• 在官方修复发布后立即升级

总结

Roxy-WI在RHEL 9系系统上的安装问题源于加密策略的更新，虽然目前有临时解决方案，但最佳实践是等待官方发布使用更现代签名算法的版本。用户在部署时应权衡安全需求与功能需求，选择最适合当前环境的解决方案。