Как исправить apt: подпись по ключу использует алгоритм слабого дайджеста (SHA1)?

129

Я начал настройку, добавив репозитории, а затем sudo apt-get updateснова запустил программу, прежде чем начал устанавливать другое программное обеспечение, и я получил ключевые строки подписи, и они прекратились. Так что это, по сути, не позволит мне обновить какие-либо пакеты сейчас.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Я никогда не видел этого раньше, когда настраивал и начинал устанавливать вещи в Ubuntu. Есть ли что-то еще, что я могу сделать?

apt

— dlchang
источник

2

Имея точно такую же проблему. Я думаю, что это можно исправить только на стороне Google или, возможно, разрешить проверку обновлений в репозиториях с помощью «слабых алгоритмов безопасности», но я не знаю, как и, скорее всего, это будет представлять угрозу безопасности. Как указано в этом блоге , этот переход был сделан из нестабильного нестабильного Debian, и Canonical включил его, потому что:> Xenial (Ubuntu 16.04 LTS) будет поддерживаться в течение 5 лет, и ландшафт может сильно измениться в следующие 5 лет. Кстати, в Launchpad есть сообщение об ошибке (здесь) ( bugs.launchpad.net/ubuntu

— Erwinstein,

Не только с Google, у меня та же проблема с драйверами Samsung и Virtualbox ...

— ionreflex

1

В качестве временного обходного пути вы можете попытаться установить практически идентичный браузер Chromium практически для любых целей и задач. Так как это происходит из репозиториев Canonical, у него не должно быть этой проблемы.

— Ариэльф

Где подходящее место, чтобы сообщить об этом обратно в Google, чтобы исправить проблему с их хранилищем Google Chrome?

— Орширо

@arielf Да, в итоге я сделал это, ожидая исправления от Google, так как это, кажется, единственное, что можно сделать из моего поиска по форумам.

— dlchang

63

Проблема с источником Google на конец Google, но apt-getпросто сообщает о проблеме как предупреждение. Эта проблема не останавливает вас от обновления пакетов.

Вы используете, apt-getи то, что вы видите, является нормальным поведением после запуска update: оно выполняет обновление, но не предоставляет дополнительную информацию.

Вы должны следовать sudo apt-get updateс , sudo apt-get upgradeчтобы увидеть , если какое - либо обновление пакета доступны.

Более новый sudo apt update(обратите внимание, это просто apt) действительно обеспечивает обратную связь о результатах.

Используя apt, вы либо увидите сообщение, которое

All packages are up to date

или же

The following packages will be upgraded:

Также см apt list --upgradeable.

— chaskes
источник

1

О, я не знал о новом sudo apt update, спасибо, я попробую это. И я думаю, я просто думал, что это вообще не работает, потому что последние строки были строками Signature, и после этого они просто прекратились, поэтому я предположил, что они не обновляются. Так что это всего лишь предупреждение для этой проблемы, но продолжается, не мешая другим обновлениям?

— dlchang

1

@dlchang Это правильно. :)

— chaskes

Chrome - это IE следующего десятилетия ... во всяком случае, это не относится к "Все пакеты обновлены" apt, и я получаю точно такие же предупреждения. За последние несколько месяцев у Chrome было так много подобных проблем, его удивительные пользователи Linux даже используют его (к сожалению, я должен это сделать для webdev).

— Тодд

3

@Todd Вы по-прежнему будете получать предупреждения, так как репозиторий Google по-прежнему подписан ключом SHA1, который является устаревшим. Причина этого в том, что было обнаружено, что SHA1 имеет столкновения, которые уменьшают его эффективную силу, ослабляя его безопасность в недопустимой степени. Это та же самая причина, по которой браузеры, в том числе сам по себе ироничный Chrome, будут жаловаться на SSL-сертификаты, использующие SHA1. Эффективная сила составляет всего около 2 ^ 60-2 ^ 70 операций или около того, что сейчас недостаточно хорошо, если учесть, что вычислительная машина с 20+ TFLOPS GPU достаточно дешева.

— MttJocy

aptне работает для меня, как вы объясняете. В нем говорится, что 7 пакетов могут быть обновлены. Запустите «apt list --upgradable», чтобы увидеть их.

— MusiKk

32

Debian и Ubuntu применяют SHA256или повышают записи в файлах Release и / или Packages с марта . Хранилища, в которых они отсутствуют, должны быть исправлены их владельцами.

В вики Debian есть обзор сломанных репозиториев .

— webwurst
источник

19

Как говорит @chaskes, это проблема с хранилищем, а не с вашим компьютером.

У @webwurst есть хорошие ссылки на основную проблему. Также есть пояснения по поводу подписей.

Если вы размещаете репозиторий, который выдает эти ошибки. Решение состоит в том, чтобы изменить значение cert-digest-algoпо умолчанию SHA256. По умолчанию gnupg по умолчанию используетSHA1

После того, как вы исправите эту проблему, следующее предупреждение будет о том, что подпись «использует алгоритм слабого дайджеста (SHA1)», и чтобы исправить это, вы также можете установить digest-algoна SHA256.

Эти значения отправляются на сервер хранилища, на gpg.confкотором используется хранилище.

Короткая рука должна добавить

cert-digest-algo SHA256
digest-algo SHA256

в ваш ~/.gnupg/gpg.confфайл.

У нашего проекта есть здесь, где должен быть пример того, как это исправить для нашего механизма развертывания.

— Талли
источник

4

Чтобы избежать этой ошибки, вы можете удалить хранилище.

Обратите внимание, что удаление репозитория не позволит Chrome получать какие-либо обновления , включая важные обновления безопасности!
Это сделает ваш браузер уязвимым для растущего числа угроз с течением времени!

Если вы действительно хотите полностью удалить или отключить репозиторий, вам следует рассмотреть возможность удаления Chrome и перехода к другому браузеру, например, к его варианту с открытым исходным кодом chromium.

_{Эта заметка была добавлена ByteCommander .}

Сначала поиск Software and Updatesв Dash. Откройте его и переключитесь на Other Softwareвкладку.

Там ищите такую запись:

http://dl.google.com/linux/earth/deb/dists/stable/

и удали это.

Наконец перейдите на Authenticationвкладку , и вы найдете что - то упоминая «Google», удалите это тоже.

Он должен перестать показывать это надоедливое сообщение об ошибке каждый раз, когда вы пытаетесь обновить свои репозитории сейчас.

— Хайет Махамуд
источник

12

Это также остановит будущие обновления Google Chrome, что, вероятно, не то, что хочет ОП.

— edwinksl

Примечание: теперь исправлен хром ppa.

— starbeamrainbowlabs