Jak naprawić apt: Signature według klucza używa algorytmu słabego trawienia (SHA1)?

129

Zacząłem konfigurować, dodając repozytoria, a potem sudo apt-get updatezacząłem ponownie uruchamiać, zanim zacząłem instalować inne oprogramowanie, i otrzymuję linie klawiszy Signature i przestaje. Zasadniczo więc nie pozwala mi teraz aktualizować żadnych pakietów.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Nigdy wcześniej tego nie widziałem, ilekroć konfiguruję i zaczynam instalować rzeczy w Ubuntu. Czy mogę coś jeszcze zrobić?

apt dlchang
źródło
2
Mając dokładnie ten sam problem. Wydaje mi się, że można to naprawić tylko po stronie Google lub może pozwolić na sprawdzanie aktualizacji w repozytoriach za pomocą „słabych algorytmów bezpieczeństwa”, ale nie wiem jak i prawdopodobnie byłoby to zagrożenie bezpieczeństwa. Jak stwierdzono na tym blogu , przeniesienie zostało przeniesione z dystrybucji niestabilnej w Debianie, a Canonical ją uwzględnił, ponieważ:> Xenial (Ubuntu 16.04 LTS) będzie obsługiwany przez 5 lat, a krajobraz może się bardzo zmienić w ciągu następnych 5 lat. Nawiasem mówiąc, w Launchpad zgłoszono błąd [tutaj] ( bugs.launchpad.net/ubuntu
Erwinstein
Nie tylko z Google, mam ten sam problem ze sterownikami Samsung i Virtualbox ...
ionreflex 24.04.16
1
Jako tymczasowe obejście, dla prawie wszystkich celów i celów, możesz spróbować zainstalować w większości identyczną przeglądarkę chromową. Ponieważ pochodzi z repozytoriów kanonicznych, nie powinien mieć tego problemu.
arielf
Gdzie jest odpowiednie miejsce, aby zgłosić to z powrotem do Google, aby rozwiązać problem z repozytorium Google Chrome?
orschiro
@arielf Ya, skończyłem tak, czekając na poprawkę od Google, ponieważ wydaje się, że to jedyna rzecz, którą można zrobić z mojego wyszukiwania na forach.
dlchang

Odpowiedzi:

63

Problem ze źródłem Google jest po stronie Google, ale apt-gettylko zgłasza problem jako ostrzeżenie. Ten problem nie powstrzymuje Cię przed aktualizacją pakietów.

Używasz apt-geti to, co widzisz, to normalne zachowanie po uruchomieniu update: wykonuje aktualizację, ale nie dostarcza dodatkowych informacji.

Trzeba postępować sudo apt-get updatez sudo apt-get upgradeaby sprawdzić, czy wszelkie aktualizacje pakietów są dostępne.

Nowsze sudo apt update(zauważ, że to po prostu apt) zawiera informacje zwrotne na temat wyników.

Za pomocą aptzobaczysz komunikat, że

All packages are up to date

lub

The following packages will be upgraded:

Zobacz także apt list --upgradeable.

kolby
źródło
1
Och, nie wiedziałem o nowszym sudo apt update, dziękuję, że spróbuję. I myślę, że po prostu myślałem, że to w ogóle nie działa, ponieważ ostatnie linie były liniami Signature i po prostu przestały działać, więc założyłem, że nie aktualizuje się. Czy to tylko ostrzeżenie przed tym problemem, ale trwa bez ingerencji w inne aktualizacje?
dlchang
1
@dlchang To prawda. :)
chaskes,
Chrome jest IE następnej dekady ... zresztą nie jest to prawdą w przypadku „Wszystkie pakiety są aktualne” apt, otrzymuję dokładnie takie same ostrzeżenia. Chrome miał tak wiele problemów w ciągu ostatnich kilku miesięcy, jego niesamowici użytkownicy Linuksa nawet go używają (niestety muszę to zrobić dla webdev).
Todd
3
@Todd Nadal będziesz otrzymywać ostrzeżenia, ponieważ repozytorium Google jest nadal podpisane za pomocą klucza SHA1, który jest amortyzowany. Powodem tego jest to, że stwierdzono, że SHA1 ma kolizje, które zmniejszają jego efektywną siłę, zmniejszając jej bezpieczeństwo do niedopuszczalnego poziomu. To ten sam powód, dla którego przeglądarki, w tym sam ironiczny chrom, będą narzekać na certyfikaty SSL korzystające z SHA1. Efektywna siła wynosi tylko około 2 ^ 60-2 ^ 70 operacji, więc teraz nie jest wystarczająco dobra, biorąc pod uwagę, że 20+ maszyna obliczeniowa z GPU TFLOPS jest wystarczająco tania.
MttJocy
aptnie działa dla mnie, jak wyjaśnisz. Mówi, że 7 pakietów można zaktualizować. Uruchom „apt list - upgrade”, aby je zobaczyć.
musiKk 18.08.16
32

Debian i Ubuntu wymuszają SHA256lub wprowadzają wyższe wpisy w plikach Release i / lub Packages od marca . Brakujące repozytoria muszą zostać naprawione przez ich właścicieli.

Jest to przegląd połamanymi repozytoriów na wiki Debiana.

webwurst
źródło
19

Jak mówi @chaskes, jest to problem z repozytorium, a nie z komputerem.

@webwurst ma dobre linki do podstawowego problemu. Istnieje również wyjaśnienie dotyczące podpisów.

Jeśli prowadzisz repozytorium, w którym występują te błędy. Rozwiązaniem jest zmiana wartości domyślnej cert-digest-algona SHA256. Domyślnie gnupg domyślnie używaSHA1

Po rozwiązać ten problem następny będzie ostrzeżenie, że podpis „używa słabego trawienia algorytmu (SHA1)” i ustalić, które można ustawić digest-algo, aby SHA256również.

Wartości te trafiają na serwer repozytorium, w gpg.confktórym używa repozytorium.

Krótką ręką jest dołączenie

cert-digest-algo SHA256
digest-algo SHA256

do twojego ~/.gnupg/gpg.confpliku.

W naszym projekcie zaznaczono to tutaj, co powinno zawierać przykład tego, jak to naprawić w naszym mechanizmie wdrażania.

Tully
źródło
4

Aby uniknąć tego błędu, możesz usunąć repozytorium.

Pamiętaj, że usunięcie repozytorium uniemożliwi Chrome pobieranie jakichkolwiek aktualizacji , w tym ważnych aktualizacji bezpieczeństwa!
Z czasem Twoja przeglądarka będzie narażona na coraz większą liczbę zagrożeń!

Jeśli naprawdę chcesz całkowicie usunąć lub wyłączyć repozytorium, powinieneś rozważyć odinstalowanie Chrome i przejście do innej przeglądarki, na przykład jej wersji open source chromium.

Ta notatka została dodana przez ByteCommander .

Przy pierwszym wyszukiwaniu Software and Updatesw Dash. Otwórz i przejdź do Other Softwarekarty.

Tam poszukaj takiego wpisu:

http://dl.google.com/linux/earth/deb/dists/stable/

wprowadź opis zdjęcia tutaj

i usuń to.

Na koniec przejdź do Authenticationkarty, a znajdziesz coś, co mówi o „Google”, usuń to również.

Powinien przestać wyświetlać ten irytujący komunikat o błędzie przy każdej próbie aktualizacji teraz repozytoriów.

Hayet Mahamud
źródło
12
Zatrzymałoby to również przyszłe aktualizacje Google Chrome, co prawdopodobnie nie jest tym, czego chce OP.
edwinksl
Uwaga: Chrome ppa został teraz naprawiony.
starbeamrainbowlabs,