Frage Wie repariere ich apt: Signatur nach Schlüssel verwendet den schwachen Digest-Algorithmus (SHA1)?


Ich fing an, durch das Hinzufügen von Repositories einzurichten und ging dann zum Ausführen eines sudo apt-get update Nochmal, bevor ich mit der Installation anderer Software begann, und ich bekomme die Signatur-Schlüsselzeilen und es hört auf. So kann ich im Grunde genommen keine Pakete mehr aktualisieren.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Ich habe das noch nie zuvor gesehen, wenn ich Dinge in Ubuntu installiere und installiere. Kann ich noch etwas anderes machen?


123
2018-04-22 19:43


Ursprung


Genau das gleiche Problem. Ich denke, es kann nur auf der Seite von Google behoben werden oder vielleicht erlauben, nach Updates in Repositories mit "schwachen Sicherheitsalgorithmen" zu suchen, aber ich weiß nicht, wie und wahrscheinlich ein Sicherheitsrisiko wäre. Wie angegeben in dieser Blog, der Umzug war von upsource in Debian unstable und Canonical enthielt es, weil:> Xenial (Ubuntu 16.04 LTS) wird für 5 Jahre unterstützt, und die Landschaft kann sich in den nächsten 5 Jahren stark ändern. Übrigens gibt es einen Fehler im Launchpad [hier] (bugs.launchpad.net/ubuntu - CodeHarmonics
Nicht nur mit Google, ich habe das gleiche Problem mit Samsung-Treibern und Virtualbox ... - ionreflex
Als vorübergehende Lösung können Sie fast immer den meist identischen Chrom-Browser installieren. Da es aus den Canonical Repos stammt, sollte dieses Problem nicht auftreten. - arielf
Wo ist der geeignete Ort, um dies an Google zu melden, um das Problem mit seinem Google Chrome-Repository zu beheben? - orschiro
@arielf Ya, ich habe das gemacht, während ich auf eine Fehlerbehebung von Google gewartet habe, denn das scheint das einzige zu sein, was ich in meinen Foren tun kann. - dlchang


Antworten:


Das Problem mit der Google-Quelle ist am Ende von Google, aber apt-get meldet das Problem nur als Warnung. Dieses Problem hält Sie nicht davon ab, Pakete zu aktualisieren.

Du benutzt apt-get und was Sie sehen, ist das normale Verhalten nach dem Laufen update: Es führt das Update aus, bietet jedoch keine zusätzlichen Informationen.

Sie müssen folgen sudo apt-get update mit sudo apt-get upgrade um zu sehen, ob irgendwelche Paket-Upgrades verfügbar sind.

Das neuere sudo apt update (Beachten Sie, dass es nur ist apt) gibt Feedback zu den Ergebnissen.

Durch die Nutzung apt, Sie werden entweder eine Nachricht sehen, die

All packages are up to date

oder

The following packages will be upgraded:

Siehe auch apt list --upgradeable.


63
2018-04-25 03:55



Oh, ich wusste nichts über die neueren sudo apt updateDanke, ich werde es versuchen. Und ich denke, ich dachte nur, dass es überhaupt nicht funktionierte, weil die letzten Zeilen die Signaturzeilen waren und es danach einfach aufhörte, also nahm ich an, dass es nicht aktualisiert wurde. Das ist also nur eine Warnung für dieses Problem, aber geht weiter, ohne andere Updates zu stören? - dlchang
@ dlchang Das ist richtig. :) - chaskes
Chrome ist der IE des nächsten Jahrzehnts ... jedenfalls stimmt das nicht mit "Alle Pakete sind auf dem neuesten Stand" mit aptIch bekomme genau dieselben Warnungen. Chrome hatte so viele Probleme in den letzten Monaten, seine erstaunlichen Linux-Benutzer benutzen es sogar (ich muss leider für Webdev). - Todd
@ Todd Sie erhalten immer noch Warnungen, da das Google-Repository immer noch mit einem SHA1-Schlüssel signiert ist, der abgeschrieben wird. Der Grund dafür ist, dass SHA1 Kollisionen aufweist, die seine effektive Stärke verringern und seine Sicherheit auf ein inakzeptables Maß schwächen. Es ist der gleiche Grund, warum Browser einschließlich ironisch Chrom sich über SSL-Zertifikate mit SHA1 beschweren. Die effektive Stärke ist nur um 2 ^ 60-2 ^ 70 Operationen oder so jetzt nicht gut genug, wenn man eine 20+ TFLOPS GPU Rechenmaschine betrachtet, ist billig genug. - MttJocy
apt funktioniert nicht für mich, wie du es erklärst. Es sagt 7 Pakete können aktualisiert werden. Führen Sie 'apt list --upgradable' aus, um sie zu sehen. - musiKk


Debian und Ubuntu erzwingen SHA256 oder höhere Einträge in den Release- und / oder Packages-Dateien seit März. Repositories, die diese nicht besitzen, müssen von ihren Besitzern repariert werden.

Da ist ein Übersicht über defekte Repositories im Debian-Wiki.


32
2018-05-02 22:08





Wie @chaskes sagt, ist dies ein Problem mit dem Repository nicht mit Ihrem Computer.

@webwurst hat gute Links zu dem zugrunde liegenden Problem. Es gibt auch ein Klärung über die Signaturen.

Wenn Sie ein Repository hosten, das diese Fehler enthält. Die Lösung besteht darin, den Standardwert zu ändern cert-digest-algo sein SHA256. Standardmäßig verwendet gnupg standardmäßig "using" SHA1

Nachdem Sie dieses Problem behoben haben, wird die nächste Warnung sein, dass die Signatur "schwachen Digest-Algorithmus (SHA1) verwendet" Und um das zu beheben, das Sie festlegen können digest-algo zu SHA256 auch.

Diese Werte gehen auf den Repository-Server in der gpg.conf welche das Repository verwendet.

Die kurze Hand ist anzuhängen

cert-digest-algo SHA256
digest-algo SHA256

zu deinem ~/.gnupg/gpg.conf Datei.

Unser Projekt hat es gebucht Hier das sollte ein Beispiel haben, wie es für unseren Bereitstellungsmechanismus zu beheben ist.


17
2018-05-23 22:33





Um diesen Fehler zu vermeiden, können Sie das Repository entfernen.

Bitte beachten Sie, dass das Entfernen des Repository wird Verhindern, dass Chrome Updates erhälteinschließlich wichtiger Sicherheitsupdates!
  Dieser Wille Machen Sie Ihren Browser anfällig zu einer zunehmenden Anzahl von Bedrohungen im Laufe der Zeit!

Wenn Sie das Repository wirklich vollständig entfernen oder inaktivieren möchten, sollten Sie Chrome deinstallieren und zu einem anderen Browser wechseln, z. B. die Open-Source-Variante chromium.

Diese Notiz wurde von hinzugefügt ByteCommander.

Zuerst suche nach Software und Updates im Dash. Öffne es und wechsle zum Andere Software Tab.

Dort suchen Sie nach einem Eintrag wie diesem:

http://dl.google.com/linux/earth/deb/dists/stable/

enter image description here

und entferne es.

Endlich gehe zum Authentifizierung Tab und Sie werden etwas finden, das "Google" erwähnt, entfernen Sie das auch.

Es sollte aufhören, diese nervige Fehlermeldung jedes Mal anzuzeigen, wenn Sie versuchen, Ihre Repositories jetzt zu aktualisieren.


4
2018-06-14 08:50



Dies würde auch zukünftige Updates von Google Chrome verhindern, was wahrscheinlich nicht das ist, was das OP will. - edwinksl
Hinweis: Der Chrome PPA wurde jetzt repariert. - starbeamrainbowlabs