Niepoprawne były następujące podpisy: EXPKEYSIG 1397BC53640DB551

90

To jest problem 952287: [Opinie użytkowników - stabilny] Raporty Chrome dla Linuxa nie instalują się / nie aktualizują z powodu wygasłego klucza podpisywania GPG


Dzisiaj działanie aptna wszystkich moich komputerach powoduje błąd z PPA Google (dla google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Próbowałem już zaimportować klucz GPG ponownie za pomocą:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Źródło: repozytoria oprogramowania Google Linux

EDYCJA: dodaj wiersz błędu w języku hiszpańskim dla lepszej widoczności:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>

EDYCJA 2: i francuski (aby objąć 3 najpopularniejsze języki ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>

Lew
źródło
11
To mi się po prostu przydarzyło.
Fred
8
głosuj ten link support.google.com/chrome/thread/4032170?hl=pl i czekaj! Nic więcej nie możemy zrobić.
Carlos Alberto Silveira de And
1
Dodałem link do raportu o błędzie na górze postu. Możesz go przenieść lub usunąć.
DK Bose
4
Myślę, że teraz jest to naprawione
Leo
1
Zdarzyło mi się to dzisiaj, 8 dni później i nadal tak się dzieje.
Gregory Smitherman

Odpowiedzi:

64

Jest to ochrona, którą otrzymujesz od tych kontroli. Nie chcesz teraz aktualizować oprogramowania, gdy coś popsuło Google. Poczekaj, aż to naprawią. Nie próbuj zastępować, ponownie instalując klucze, dopóki nie pojawi się oficjalne słowo, że nowy klucz jest rozwiązaniem.

yareckon
źródło
9
Czekanie, aż naprawią, może nie być rozwiązaniem dla wszystkich. Np. To łamie dla nas rurociągi CI. Jeśli teraz robisz to, możesz zaryzykować i wyłączyć na razie sprawdzanie tego repozytorium, dodając [trusted=yes]do jego konfiguracji:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan
4
To nie pierwszy raz, kiedy to się dzieje. Pamiętam, że w ciągu ostatnich lat miałem ten sam problem z google co najmniej 2 razy. Zastanawiam się, co się dzieje w Google i dlaczego nie mogą trzymać swoich rzeczy razem.
Michael Härtl
4
@jelhan Właśnie dlatego rurociągi CI idealnie łączą się z lokalnymi serwerami lustrzanymi / pamięciami podręcznymi, zamiast iść bezpośrednio w górę.
Konrad Rudolph
2
@ MichaelHärtl Oglądałem Google, a merytokracja wydaje się być poza modą.
DK Bose
6
trusted=yespokonuje cały cel podpisywania cyfrowego i zasadniczo naraża cały system na szwank. Nie powinieneś tego robić lekko, zwłaszcza nie jest to dobry pomysł na „tymczasowe obejście”.
kissgyorgy
15

problem został rozwiązany przez Google Abr 12/2019 (tylko Google Chrome. Testowane w Ubuntu 18.04.x)

wprowadź opis zdjęcia tutaj Nie ma nic do zrobienia. Repozytorium zostało już podpisane

Aktualizacja 19 kwietnia 1919:

wprowadź opis zdjęcia tutaj

Zespół Google potwierdził, że wprowadzono dodatkowe poprawki dla innych produktów Google innych niż Chrome

źródło: https://support.google.com/chrome/thread/4032170

ajcg
źródło
1
Gdzie to zgłosiłeś? Google wciąż nie naprawił tego w niektórych innych repozytoriach, np. W Menedżerze muzyki, dlatego też chciałbym to zgłosić.
Paddy Landau
9

Wygląda na to, że klucze do podpisywania Google wygasły. Bądź cierpliwy i poczekaj, aż je naprawią (co może, ale nie musi, wymagać ponownego dodania klucza po jego naprawieniu).

paed808
źródło
1

Dla każdego, kto nie jest wystarczająco cierpliwy, aby Google zaktualizował certyfikat ...

możesz to naprawić, wykonując następujące czynności:

  1. Pobierz to: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(nowa wersja chrome, możesz zdobyć ją samodzielnie, przeglądając chrome)

  1. Zamknij Chrome.
  2. Otwórz „Oprogramowanie i źródła”, przejdź do zakładki „Źródła”
  3. Usuń (lub wyłącz, jeśli chcesz ponownie włączyć później) źródło Google (wpisz hasło) i zamknij okno
  4. Zezwól „Oprogramowaniu i źródłom” na ponowne załadowanie źródeł
  5. Przejdź do Centrum oprogramowania, przejdź do „Zainstalowane”
  6. Znajdź Chrome, odinstaluj go.
  7. Zamknij oprogramowanie i źródła
  8. Otwórz terminal, wpisz:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Zamknij terminal i przejdź do folderu pobierania i kliknij dwukrotnie plik „google-chrome-stable_current_amd64.deb” (otworzy się Centrum oprogramowania)

  10. Kliknij Zainstaluj

możesz teraz otworzyć kopię zapasową chrome. wszystkie twoje zakładki i zapisane hasła itp. nadal tam są.

tatsu
źródło
@CarlosAlbertoSilveiradeA i powiedział: „Świetnie !!, pracuj dla mnie! Dzięki”, ale jako poprawkę do mojego postu, ponieważ on jeszcze nie wie, jak korzystać z tej witryny… Dodam ją, aby ludzie wiedzieli, że to dla kogoś zadziałało.
tatsu
1

15 kwietnia i nadal pojawia się ten błąd w repozytoriach Google Earth i Music Manager. Z pewnością nie spieszą się z tym.

MikeF
źródło
0

Ty nie. Musisz poczekać, aż Google odnowi ich klucze i na aktualizację.

Ważna wiadomość to:

Nieprawidłowe były następujące podpisy: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Urząd podpisywania pakietów systemu Linux)

Oznacza to, że podpis kryptograficzny jest nieprawidłowy. Źródłem tego może być atak, błędna konfiguracja lub inny problem techniczny. Wymuszenie aktualizacji systemu spowoduje uruchomienie niezweryfikowanej wersji przeglądarki internetowej, co może narazić Cię na wiele problemów bezpieczeństwa.

źródło

sxn
źródło
0

Google musi tam zaktualizować klucz GPG. Możesz jednak oznaczyć źródło deb jako zaufane, dopóki Google nie odnowi ich klucza:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. dodaj trusted=yesdo swojego pliku /etc/apt/sources.list.d/google-chrome.list , aby wyglądało to tak:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Nadal pojawia się nieprawidłowy błąd GPG, ale na razie możesz go zignorować.

UWAGA : Zachowaj ostrożność, ponieważ może to powodować problemy z bezpieczeństwem w niezaufanych sieciach, gdy nie używa się https w łączu do źródła deb.

EDYCJA: Ostrzeżenie GPG już się nie pojawia. Google odnowił swój klucz. Jeśli zastosowałeś się do powyższego rozwiązania, po prostu usuń trusted=yesczęść, a następnie apt clean& wreszcie apt update. Nie powinieneś już widzieć żadnego błędu: D

Dimitris Moraitidis
źródło
2
Nie rób tego Jeśli nie z innego powodu niż źródło nieszyfrowane. Jeśli to zrobisz, zapomnisz o tym, a następnie zejdziesz do złej sieci, może łatwo przechwycić i obalić wydanie, pakiety.list, a zatem zasadniczo uruchomić wszystko, co lubił jako root na twoim komputerze. To nie jest dobry pomysł.
Oli
2
Przegapiłeś mój punkt. Jeśli ktoś może przechwycić ruch sieciowy, może udawać Google. Nie ma TLS na połączeniu http: //. Zwykle Apt jest tutaj, ponieważ sprawdzają, czy wszystkie listy wydań i pakietów są podpisane. Jeśli przechwyciłeś to normalnie - i złośliwie coś zmieniłeś - zobaczysz błąd podpisywania. Pomijasz tutaj cały ten mechanizm.
Oli
1
W rzeczy samej. Dzięki za wyjaśnienie
Dimitris Moraitidis
2
Zgadzam się, ale możesz tymczasowo zrobić to https z zaufanym = tak (na razie, zakładając, że nie jesteś TLS MiTM). Na przykład:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy
1
I rzeczywiście. Więc chyba ostatnia edycja, powinienem przynajmniej wrócić do 0 zamiast -2: P
Dimitris Moraitidis
0

Wygląda na to, jak powiedział @DooMMasteR, że Google zezwala na wygaśnięcie certyfikatu dla swoich repozytoriów Linux , których termin przypada na 12 kwietnia . @yareckon wyjaśnił, że ten aptbłąd bezpieczeństwa działa zgodnie z oczekiwaniami, aby zapobiec zainstalowaniu źle podpisanego oprogramowania.

9 godzin po opublikowaniu problemu firma Google w sposób przejrzysty naprawiła certyfikaty dla użytkowników korzystających z repozytorium Google Chrome . Błąd ustał po odnowieniu certyfikatów, stopniowo także w pozostałych repozytoriach będących własnością Google (Google Earth, Google Music Manager ...).

Po stronie użytkownika nie jest wymagane (i zalecane) działanie, tylko czekanie na podpisanie używanych repozytoriów za pomocą odnowionych kluczy.

Lew
źródło