I installed the keyring as described at the homepage but I always get an error message when I make an repository update:

Warnung: Während der Überprüfung der Signatur trat ein Fehler auf. Das Depot wurde nicht aktualisiert und die vorherigen Indexdateien werden verwendet. OpenPGP-Signaturüberprüfung fehlgeschlagen: https://apt.enpass.io stable InRelease: Sub-process /usr/bin/sqv returned an error code (1), error message is: Signing key on B6DA722E2E65721AF54B93966F7565879798C2FC is not bound: No binding signature at time 2025-07-28T06:45:22Z because: Policy rejected non-revocation signature (PositiveCertification) requiring second pre-image resistance because: SHA1 is not considered secure since 2026-02-01T00:00:00Z

What is the problem?

Du hast nichts falsch gemacht, apt akzeptiert bloß den Key nicht mehr, den müssen die Leute von Enpass neu generieren, ebenso das neue Deb822 Listenformat .source muss jetzt für das Repo genutzt werden, das vorherige .list wird sehr bald nicht mehr unterstützt.

Mit beidem kommen die Junx hier nicht aus dem Quark und neue Installationen und Updates sind nicht mehr möglich.

Uns Nutzern bleibt jetzt nur abzuwarten.

Edited February 23Feb 23 by x2k13

Danke für die Antwort. Das Problem besteht aber schon seit langer Zeit. Werde mir vielleicht doch einen anderen Passwortmanager suchen.

On 2/22/2026 at 4:42 PM, harley-peter said:

J'ai installé le trousseau de clés comme décrit sur la page d'accueil mais j'obtiens toujours un message d'erreur lorsque je fais une mise à jour du référentiel :

Avertissement : Une erreur s'est produite lors de la vérification de la signature. Le dépôt n'a pas été mis à jour et les fichiers d'index précédents sont utilisés. La vérification de la signature OpenPGP a échoué : https://apt.enpass.io InRelease stable : le sous-processus/usr/bin/sqv a renvoyé un code d'erreur (1), le message d'erreur est : La clé de signature sur B6DA722E2E65721AF54B93966F7565879798C2FC n'est pas liée : Aucune signature de liaison au moment 2025-07-28T06:45:22Z car : La politique a rejeté la signature de non-révocation (PositiveCertification) nécessitant une deuxième résistance de pré-image car : SHA1 n'est pas considéré comme sécurisé depuis le 01/02/2026T00:00:00Z

Quel est le problème ?

Check out this thread on this specific issue, which has been open since May 16, 2025.

https://discussion.enpass.io/index.php?/topic/31740-policy-will-reject-signature-within-a-year/

Thanks for your patience.

We have fixed the issue. The signing key used to verify Enpass Linux packages has been upgraded to a stronger security standard, ensuring smooth installs and updates on newer distributions such as Debian 13. Please import the updated signing key as described in the installation guide. See the Linux installation guide for details.

1. This issue hasn't been resolved. It is still persisting on RHEL 10.

2. The Linux installation guide does not describe how to import the updated signing key for RPM packages.