So beheben Sie apt: Die Signatur nach Schlüssel verwendet einen schwachen Digest-Algorithmus (SHA1).

129

Ich habe mit dem Einrichten begonnen, indem ich Repositorys hinzugefügt habe sudo apt-get update, und bin dann erneut gestartet, bevor ich mit der Installation anderer Software begonnen habe. Dann erhalte ich die Signaturschlüsselzeilen und es stoppt. Daher kann ich jetzt im Wesentlichen keine Pakete aktualisieren.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Ich habe das noch nie gesehen, wenn ich Dinge in Ubuntu einrichte und installiere. Kann ich noch etwas tun?

apt dlchang
quelle
2
Genau das gleiche Problem haben. Ich vermute, es kann nur auf Google-Seite behoben werden oder es kann nach Updates in Repositories mit "schwachen Sicherheitsalgorithmen" gesucht werden, aber ich weiß nicht, wie und wäre wahrscheinlich ein Sicherheitsrisiko. Wie in diesem Blog angegeben , war der Umzug von Upsource in Debian unstable und Canonical beinhaltete ihn aus folgenden Gründen:> Xenial (Ubuntu 16.04 LTS) wird 5 Jahre lang unterstützt, und die Landschaft kann sich in den nächsten 5 Jahren stark verändern. Übrigens gibt es einen Fehler, der im Launchpad [hier] abgelegt wurde
Erwinstein
Nicht nur bei Google, ich habe das gleiche Problem mit Samsung-Treibern und Virtualbox ...
ionreflex
1
Als vorübergehende Problemumgehung können Sie in fast jeder Hinsicht versuchen, den zumeist identischen Chrom-Browser zu installieren. Da es von den Canonical Repos stammt, sollte es dieses Problem nicht geben.
Arielf
Wo ist der geeignete Ort, um dies an Google zurückzumelden, um das Problem mit dem Google Chrome-Repository zu beheben?
Orschiro
@arielf Ya, am Ende habe ich das gemacht, während ich auf eine Fehlerbehebung von Google gewartet habe, da dies das einzige zu sein scheint, was ich durch das Durchsuchen von Foren tun kann.
Dlchang

Antworten:

63

Das Problem mit der Google-Quelle ist am Ende von Google, apt-getmeldet das Problem jedoch nur als Warnung. Dieses Problem hindert Sie nicht daran, Pakete zu aktualisieren.

Sie verwenden apt-getund was Sie sehen, ist das normale Verhalten nach dem Ausführen update: Es führt die Aktualisierung durch, bietet jedoch keine zusätzlichen Informationen.

Sie müssen mit folgen, sudo apt-get updateum sudo apt-get upgradezu sehen, ob Paket-Upgrades verfügbar sind.

Die neuere Version sudo apt update(beachte, dass es nur so ist apt) gibt Feedback zu den Ergebnissen.

Bei Verwendung von aptwird entweder eine Meldung angezeigt, dass

All packages are up to date

oder

The following packages will be upgraded:

Siehe auch apt list --upgradeable.

chaskes
quelle
1
Oh, ich wusste nichts über die neuere sudo apt update, danke, ich werde das versuchen. Und ich denke, ich dachte nur, dass es überhaupt nicht funktioniert, weil die letzten Zeilen die Signaturzeilen waren und es danach einfach aufhörte, also nahm ich an, dass es nicht aktualisiert wurde. Das ist also nur eine Warnung für dieses Problem, geht aber weiter, ohne andere Updates zu beeinträchtigen?
Dlchang
1
@dlchang Das stimmt. :)
chaskes
Chrome ist der IE des nächsten Jahrzehnts ... jedenfalls trifft dies bei "Alle Pakete sind auf dem neuesten Stand" nicht zu apt, ich bekomme genau die gleichen Warnungen. Chrome hatte in den letzten Monaten so viele Probleme wie dieses, dass es sogar von seinen erstaunlichen Linux-Nutzern verwendet wird (ich muss es leider für webdev tun).
Todd
3
@Todd Sie erhalten weiterhin Warnungen, da das Google-Repository weiterhin mit einem SHA1-Schlüssel signiert ist, der nicht mehr unterstützt wird. Der Grund dafür ist, dass bei SHA1 Kollisionen festgestellt wurden, die die effektive Stärke verringern und die Sicherheit in nicht akzeptablem Maße beeinträchtigen. Aus dem gleichen Grund beschweren sich Browser, einschließlich ironischerweise Chrome, über SSL-Zertifikate, die SHA1 verwenden. Die effektive Stärke liegt nur bei 2 ^ 60-2 ^ 70 Operationen oder so, was jetzt nicht gut genug ist, wenn man bedenkt, dass ein Computer mit 20+ TFLOPS-GPUs billig genug ist.
MttJocy
aptfunktioniert bei mir nicht wie du erklärst. Es heißt, 7 Pakete können aktualisiert werden. Führen Sie "apt list --upgradeable" aus, um sie anzuzeigen.
Musik
32

Debian und Ubuntu erzwingen seit MärzSHA256 oder höher Einträge in den Release- und / oder Package-Dateien . Repositorys, in denen diese fehlen, müssen von ihren Eigentümern repariert werden.

Es gibt eine Übersicht über defekte Repositories im Debian-Wiki.

Webwurst
quelle
19

Wie @chaskes sagt, ist dies ein Problem mit dem Repository, nicht mit Ihrem Computer.

@webwurst hat gute Links zum zugrunde liegenden Problem. Es gibt auch eine Klarstellung über die Unterschriften.

Wenn Sie ein Repository hosten, das diese Fehler ausgibt. Die Lösung besteht darin, die Standardeinstellung cert-digest-algozu ändern SHA256. Standardmäßig verwendet gnupg standardmäßigSHA1

Nachdem Sie dieses Problem zu beheben die nächste Warnung wird sein , dass die Signatur „verwendet schwachen Digest - Algorithmus (SHA1)“ Und zu beheben , die Sie einstellen können , digest-algoum SHA256auch.

Diese Werte werden auf dem Repository-Server abgelegt, den gpg.confdas Repository verwendet.

Die kurze Hand ist anzufügen

cert-digest-algo SHA256
digest-algo SHA256

zu Ihrer ~/.gnupg/gpg.confDatei.

In unserem Projekt wurde ein Ticket erstellt , das ein Beispiel für die Fehlerbehebung für unseren Bereitstellungsmechanismus enthält.

Tully
quelle
4

Um diesen Fehler zu vermeiden, können Sie das Repository entfernen.

Beachten Sie, dass das Entfernen des Repositorys verhindert, dass Chrome Updates erhält , einschließlich wichtiger Sicherheitsupdates!
Dies macht Ihren Browser im Laufe der Zeit anfälliger für eine zunehmende Anzahl von Bedrohungen!

Wenn Sie das Repository wirklich vollständig entfernen oder deaktivieren möchten, sollten Sie in Betracht ziehen, Chrome zu deinstallieren und zu einem anderen Browser zu wechseln, wie z. B. der Open-Source-Variante chromium.

Diese Notiz wurde von ByteCommander hinzugefügt .

Zuerst Software and Updatesim Bindestrich suchen . Öffnen Sie es und wechseln Sie zur Other SoftwareRegisterkarte.

Suchen Sie dort nach einem Eintrag wie diesem:

http://dl.google.com/linux/earth/deb/dists/stable/

Bildbeschreibung hier eingeben

und entfernen Sie es.

Schließlich gehen Sie zu der AuthenticationRegisterkarte und Sie werden etwas finden, das "Google" erwähnt, entfernen Sie das auch.

Es sollte nicht mehr angezeigt werden, wenn Sie versuchen, Ihre Repositorys jetzt zu aktualisieren.

Hayet Mahamud
quelle
12
Dies würde auch zukünftige Updates für Google Chrome stoppen, was wahrscheinlich nicht das ist, was das OP will.
Edwinksl
Hinweis: Das Chrome-PPA wurde behoben.
Starbeamrainbowlabs