Debian（Trixie/KDE）で「署名検証に失敗」更新エラーが出る原因と直し方──Dockerが追加したMicrosoftリポジトリとSHA1問題

KDE Plasma の Discover から更新しようとしたときに、突然「OpenPGP signature verification failed」「SHA1 is not considered secure since 2026-02-01…」といった長いエラーが出ることがあります。見た目は難解ですが、ポイントはシンプルです。
Debian 本体（Trixie）ではなく、いつの間にか追加されていた外部リポジトリ（Microsoft系など）が、Debian側の暗号ポリシー強化に追随できずに弾かれているのが原因です。GitHub+2NVIDIA Developer Forums+2

• Debian（Trixie/KDE）で「署名検証に失敗」更新エラーが出る原因と直し方──Dockerが追加したMicrosoftリポジトリとSHA1問題
  • 何が起きているのか：Trixieなのに「bookwormのMicrosoftリポジトリ」が出てくる理由
  • エラーの核心：「SHA1が安全ではない」ので署名が拒否される
  • まずやるべき確認：sources.list と sources.list.d を棚卸し
  • 解決策A：Microsoftリポジトリが不要なら「止める（最短で安全）」
  • 解決策B：Microsoftリポジトリが必要なら「鍵の更新」と「期待値調整」
    • 1) 「Trixie用に合わせる」より先に、鍵・署名が更新されているかが本丸
    • 2) bookwormリポジトリをTrixieで使うのは「動くこともある」が、混在には注意
  • Dockerを使う人がいる共有PCでの落としどころ
  • やってはいけない近道：検証を弱める回避策
  • まとめ：原因はDiscoverではなくAPT設定、対策は「sources.list.dの棚卸し」

何が起きているのか：Trixieなのに「bookwormのMicrosoftリポジトリ」が出てくる理由

エラーメッセージに https://packages.microsoft.com/debian/12/prod bookworm InRelease のような行が出てくる場合、APTが「MicrosoftのDebian 12（bookworm）向けリポジトリ」を参照しています。Trixieを使っていても、sources.list本体に書いていなくても、/etc/apt/sources.list.d/ 配下にファイルが追加されていれば参照されます。今回のケースでは、Docker関連の導入時に docker.list や microsoft-prod.list が増えていた、という流れが典型です。Reddit+1

ここで重要なのは「誰が追加したか」ではなく、今そのPCのAPT設定が何を見ているかです。共有PCだと、別ユーザーの作業でリポジトリが追加されていることも普通にあります。

エラーの核心：「SHA1が安全ではない」ので署名が拒否される

2026年2月ごろから、Debian（特にtesting/unstable系）でリポジトリ署名の検証がより厳格になり、SHA-1に依存する署名や鍵の“バインディング”が拒否される事例が複数報告されています。メッセージ中の

• Signing key ... is not bound

• Policy rejected ...

• SHA1 is not considered secure since 2026-02-01

がまさにそれです。つまり、あなたの設定や操作ミスというより、外部リポジトリ側の鍵・署名が新ポリシーに対応していないことが引き金になっています。GitHub+3GitHub+3Reddit+3

まずやるべき確認：sources.list と sources.list.d を棚卸し

ターミナルで以下を確認します（Discoverで出ていても、原因はAPT設定なのでCLIで見た方が早いです）。

• /etc/apt/sources.list

• /etc/apt/sources.list.d/（ここが盲点になりやすい）

microsoft-prod.list があり、内容が次のようになっていれば今回のパターンです。

• deb ... https://packages.microsoft.com/debian/12/prod bookworm main

この時点で方針は2つに分かれます。

解決策A：Microsoftリポジトリが不要なら「止める（最短で安全）」

VS Code、Edge、.NET SDKなどをそのMicrosoftリポジトリから入れていない（または今は不要）なら、そのリポジトリを無効化するのが最短で安全です。

• microsoft-prod.list を削除する

• あるいは先頭に # を付けてコメントアウトする（復帰しやすい）

これで apt update / Discover の更新が通るようになることが多いです。Debian本体のリポジトリは影響を受けません。

解決策B：Microsoftリポジトリが必要なら「鍵の更新」と「期待値調整」

必要な場合は次を押さえます。

1) 「Trixie用に合わせる」より先に、鍵・署名が更新されているかが本丸

この手のエラーは、ディストリ名（bookworm/tuxie）を変えれば直るタイプではなく、署名鍵や署名方式がSHA1依存から更新されているかが決定打です。実際、同種のエラーは複数の外部リポジトリで起きており、「提供側が鍵を更新する必要がある」性質が強いです。AirVPN+3NVIDIA Developer Forums+3デベロッパーコミュニティ+3

できることとしては、Microsoft側が配布しているリポジトリ設定パッケージ（鍵を含む）を最新版に更新し、/usr/share/keyrings/microsoft-prod.gpg が新しいものになっているか確認します。更新後に apt update を再実行します。

2) bookwormリポジトリをTrixieで使うのは「動くこともある」が、混在には注意

Trixie環境にbookworm向け外部リポジトリを混ぜると、依存関係や優先度で意図しないアップグレードが起きる可能性があります。必要最小限の用途（特定アプリのみ）に絞り、必要ならAPT pinningで制御するのが定石です。

Dockerを使う人がいる共有PCでの落としどころ

「Docker利用者がいるから外部リポジトリを消しづらい」という場合、整理の優先順位はこうなります。

1. docker.list と microsoft-prod.list は別物。Microsoftが不要ならそちらだけ止める

2. Docker自体は、Debian側パッケージ（docker.io）で足りるなら公式Dockerリポジトリに依存しない運用も可能

3. 公式Dockerを使うなら、対応ディストリ（Trixie含む）・手順に沿って管理する（鍵や.listを勝手に増やす導入方法は避ける）Docker Documentation

Docker公式はDebian Trixieも対象に含めていますが、どのリポジトリを使うかは運用方針（安定性優先か、新機能優先か）で変わります。Docker Documentation

やってはいけない近道：検証を弱める回避策

「署名検証を緩める」「無署名を許可する」といった回避は、更新経路の改ざん検知を捨てる行為です。今回のように“外部だけが落ちている”状況なら、落ちているリポジトリを止める／鍵を正しく更新するのが王道です。

まとめ：原因はDiscoverではなくAPT設定、対策は「sources.list.dの棚卸し」

• Trixieであっても、/etc/apt/sources.list.d/ に外部リポジトリがあれば参照される

• 2026年2月以降の暗号ポリシー強化で、SHA1依存の署名・鍵が拒否されやすくなった

• まずは microsoft-prod.list の無効化が最速の解決

• 必要なら、提供元の鍵・設定パッケージを最新化し、混在リスクも踏まえて運用する Docker Documentation+3Reddit+3GitHub+3