Следующие подписи были недействительными: EXPKEYSIG 1397BC53640DB551

90

Это проблема 952287: [Отзыв пользователя - стабильный] Отчеты о том, что Chrome для Linux не удается установить / обновить из-за истекшего ключа подписи GPG


Сегодня запуск aptна всех моих машинах выдает эту ошибку с помощью Google PPA (для google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Уже попытался импортировать ключ GPG снова с:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Источник: Google Linux Software Repositories

РЕДАКТИРОВАТЬ: добавить строку ошибки на испанском языке для лучшей видимости:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

РЕДАКТИРОВАТЬ 2: и французский (для охвата топ-3 языков ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

Лео
источник
11
Это также случилось со мной.
Фред
8
Подтвердите эту ссылку support.google.com/chrome/thread/4032170?hl=ru и ждите! Мы больше ничего не можем сделать.
Карлос Альберто Сильвейра де И
1
Я добавил ссылку на отчет об ошибке вверху поста. Пожалуйста, не стесняйтесь перемещать или удалять его.
DK Bose
4
Я думаю, что это сейчас исправлено
Лев
1
Это случилось со мной сегодня, 8 дней спустя, и это все еще происходит.
Грегори Смитерман

Ответы:

64

Это защита, которую вы получаете от этих проверок. Вы не хотите обновлять свое программное обеспечение прямо сейчас, пока что-то напутало на стороне Google. Подождите, пока они это исправят. Не пытайтесь переопределить путем переустановки ключей, пока не появится какое-то официальное сообщение о том, что новый ключ - это решение.

yareckon
источник
9
Ожидание, пока они исправят это, может быть не вариант для всех. Например, это нарушает конвейеры CI для нас. Если вы сейчас делаете то, что делаете, вы можете рискнуть и отключить проверки для этого репо, добавив [trusted=yes]в его конфигурацию:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan
4
Это не первый раз, когда это происходит. Я помню, что эта проблема с Google, по крайней мере, еще 2 раза за последние годы. Интересно, что происходит в Google и почему они не могут держать свои вещи вместе.
Михаэль Хертл
4
@jelhan Вот почему конвейеры CI в идеале используют локальные зеркала / кэши, а не идут прямо вверх по течению.
Конрад Рудольф
2
@ MichaelHärtl Я смотрю Google, и меритократия, похоже, не в моде.
ДК Бозе
6
trusted=yesпобеждает всю цель цифровой подписи и в основном ставит под угрозу всю вашу систему. Вы не должны делать это легко, особенно не очень хорошая идея для «временного решения проблемы».
Kissgyorgy
33

Очевидно, Google не продлил срок действия сертификата подписи ... это должно было закончиться сегодня, и так оно и было. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

возможно, Google изменит его сегодня или около того… тогда обновление сертификата должно работать нормально, и все должно вернуться к нормальной жизни.

DooMMasteR
источник
15

проблема была решена Google Abr 12/2019 (только Google Chrome. Протестировано в Ubuntu 18.04.x)

введите описание изображения здесь Ничего не поделаешь. Репозиторий уже подписан

Обновление от 19/2019:

введите описание изображения здесь

Команда Google подтвердила, что для других продуктов Google, не относящихся к Chrome, выпущены дополнительные исправления

источник: https://support.google.com/chrome/thread/4032170

ajcg
источник
1
Где вы сообщили об этом? Google до сих пор не исправил это в некоторых других репозиториях, например, в Music Manager, поэтому я хотел бы также сообщить об этом.
Пэдди Ландау
9

Похоже, ключи подписи Google истек. Будьте терпеливы и подождите, пока они их исправят (для этого может потребоваться или не потребоваться повторное добавление ключа после того, как они исправили его).

paed808
источник
1

Для тех, кто не достаточно терпелив, чтобы Google обновил сертификат ...

Вы можете исправить это с помощью следующих шагов:

  1. Загрузите это: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(Chrome новая версия, вы можете получить его самостоятельно, прибегая к помощи Chrome)

  1. Закрыть Chrome.
  2. Откройте «Программное обеспечение и источники», перейдите на вкладку «Источники»
  3. Удалите (или отключите, если вы хотите включить его позднее) источник Google (введите свой пароль) и закройте окно
  4. Разрешить "Программное обеспечение и источники" для перезагрузки источников
  5. Зайдите в Software Center, зайдите в "Установлено"
  6. Найдите Chrome, удалите его.
  7. Закрыть программное обеспечение и источники
  8. Откройте терминал, введите:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Закройте терминал и перейдите в папку загрузок и дважды щелкните файл «google-chrome-stable_current_amd64.deb» (откроется Центр программного обеспечения)

  10. Нажмите Установить

Теперь вы можете открыть хром обратно. все ваши вкладки и сохраненные пароли все еще там.

Tatsu
источник
@CarlosAlbertoSilveirade и сказал: «Отлично !!, работай для меня! Спасибо», но в качестве редактирования моего поста, потому что он еще не знает, как пользоваться этим сайтом… Я добавляю его, чтобы люди знали, что он работает для кого-то.
Тацу
1

15 апреля, и я все еще получаю эту ошибку с репозиториями Google Планета Земля и Music Manager. Они уверены, что проводят приятное время с этим.

MikeF
источник
0

Вы не Вы должны подождать, пока Google обновит свои ключи и произойдет обновление.

Важное сообщение:

Следующие подписи были недействительными: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Центр подписи пакетов Linux)

Это означает, что криптографическая подпись недействительна. Источником этого может быть атака, неправильная конфигурация или другие технические проблемы. Принудительное обновление системы приведет к запуску непроверенной версии вашего веб-браузера, что может привести к серьезным проблемам с безопасностью.

источник

SXn
источник
0

Гугл нужно обновить там ключ GPG. Однако вы можете пометить источник deb как надежный, пока Google не обновит их ключ:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. добавьте trusted=yesв файл /etc/apt/sources.list.d/google-chrome.list , чтобы он выглядел следующим образом:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Вы по-прежнему получаете недопустимую ошибку GPG, но пока можете ее игнорировать.

ПРИМЕЧАНИЕ : будьте осторожны, так как это может привести к проблемам безопасности в недоверенных сетях, когда https не используется в ссылке на источник deb.

РЕДАКТИРОВАТЬ: предупреждение GPG больше не появляется. Google обновил их ключ. Если вы следовали приведенному выше решению, просто удалите trusted=yesдеталь, а затем apt clean& наконец apt update. Вы больше не должны видеть никаких ошибок: D

Димитрис Мораитидис
источник
2
Не делай этого. Если по какой-либо другой причине, кроме источника, не зашифрованного. Если вы сделали это, забыли все об этом, а затем попали в плохую сеть, он мог бы легко перехватить и подорвать Release, packages.list, и, следовательно, по сути запустить все, что ему понравилось, от имени пользователя root на вашем компьютере. Это не очень хорошая идея.
Оли
2
Вы упустили мою точку зрения. Если кто-то может перехватить ваш сетевой трафик, он может притвориться Google. Там нет TLS на соединение http: //. Обычно Apt поддерживает вас здесь, потому что они проверяют, что все выпуски и списки пакетов подписаны. Если вы перехватите это нормально - и злонамеренно что-то изменили - вы увидите ошибку подписи. Вы обходите весь этот механизм здесь.
Оли
1
На самом деле. Спасибо за объяснение
Димитрис Мораитидис
2
Согласен, но вы можете временно сделать это https с доверенным = да (пока, если вы не TLS MiTM). Например:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy
1
Также действительно. Так что я думаю, что в моем недавнем редактировании я должен по крайней мере вернуться к 0 вместо -2: P
Димитрис Мораитидис
0

Похоже, как сказал @DooMMasteR, Google позволил подписать сертификат для своих репозиториев Linux , срок действия которого истекает 12 апреля . @yareckon объяснил, что эта aptошибка безопасности работает, как и ожидалось, для предотвращения установки плохо подписанного программного обеспечения.

Через 9 часов после публикации проблемы Google прозрачно исправила сертификаты для пользователей, использующих репозиторий Google Chrome . Ошибка прекратилась после того, как они обновили сертификаты, также постепенно на остальных репозиториях, принадлежащих Google (Google Планета Земля, Google Music Manager ...).

Никаких действий не требуется (и не рекомендуется) со стороны пользователей, только ожидание подписания репозиториев с использованием обновленных ключей.

Лео
источник