Как исправить apt: подпись по ключу использует алгоритм слабого дайджеста (SHA1)?

129

Я начал настройку, добавив репозитории, а затем sudo apt-get updateснова запустил программу, прежде чем начал устанавливать другое программное обеспечение, и я получил ключевые строки подписи, и они прекратились. Так что это, по сути, не позволит мне обновить какие-либо пакеты сейчас.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Я никогда не видел этого раньше, когда настраивал и начинал устанавливать вещи в Ubuntu. Есть ли что-то еще, что я могу сделать?

apt dlchang
источник
2
Имея точно такую ​​же проблему. Я думаю, что это можно исправить только на стороне Google или, возможно, разрешить проверку обновлений в репозиториях с помощью «слабых алгоритмов безопасности», но я не знаю, как и, скорее всего, это будет представлять угрозу безопасности. Как указано в этом блоге , этот переход был сделан из нестабильного нестабильного Debian, и Canonical включил его, потому что:> Xenial (Ubuntu 16.04 LTS) будет поддерживаться в течение 5 лет, и ландшафт может сильно измениться в следующие 5 лет. Кстати, в Launchpad есть сообщение об ошибке (здесь) ( bugs.launchpad.net/ubuntu
Erwinstein,
Не только с Google, у меня та же проблема с драйверами Samsung и Virtualbox ...
ionreflex
1
В качестве временного обходного пути вы можете попытаться установить практически идентичный браузер Chromium практически для любых целей и задач. Так как это происходит из репозиториев Canonical, у него не должно быть этой проблемы.
Ариэльф
Где подходящее место, чтобы сообщить об этом обратно в Google, чтобы исправить проблему с их хранилищем Google Chrome?
Орширо
@arielf Да, в итоге я сделал это, ожидая исправления от Google, так как это, кажется, единственное, что можно сделать из моего поиска по форумам.
dlchang

Ответы:

63

Проблема с источником Google на конец Google, но apt-getпросто сообщает о проблеме как предупреждение. Эта проблема не останавливает вас от обновления пакетов.

Вы используете, apt-getи то, что вы видите, является нормальным поведением после запуска update: оно выполняет обновление, но не предоставляет дополнительную информацию.

Вы должны следовать sudo apt-get updateс , sudo apt-get upgradeчтобы увидеть , если какое - либо обновление пакета доступны.

Более новый sudo apt update(обратите внимание, это просто apt) действительно обеспечивает обратную связь о результатах.

Используя apt, вы либо увидите сообщение, которое

All packages are up to date

или же

The following packages will be upgraded:

Также см apt list --upgradeable.

chaskes
источник
1
О, я не знал о новом sudo apt update, спасибо, я попробую это. И я думаю, я просто думал, что это вообще не работает, потому что последние строки были строками Signature, и после этого они просто прекратились, поэтому я предположил, что они не обновляются. Так что это всего лишь предупреждение для этой проблемы, но продолжается, не мешая другим обновлениям?
dlchang
1
@dlchang Это правильно. :)
chaskes
Chrome - это IE следующего десятилетия ... во всяком случае, это не относится к "Все пакеты обновлены" apt, и я получаю точно такие же предупреждения. За последние несколько месяцев у Chrome было так много подобных проблем, его удивительные пользователи Linux даже используют его (к сожалению, я должен это сделать для webdev).
Тодд
3
@Todd Вы по-прежнему будете получать предупреждения, так как репозиторий Google по-прежнему подписан ключом SHA1, который является устаревшим. Причина этого в том, что было обнаружено, что SHA1 имеет столкновения, которые уменьшают его эффективную силу, ослабляя его безопасность в недопустимой степени. Это та же самая причина, по которой браузеры, в том числе сам по себе ироничный Chrome, будут жаловаться на SSL-сертификаты, использующие SHA1. Эффективная сила составляет всего около 2 ^ 60-2 ^ 70 операций или около того, что сейчас недостаточно хорошо, если учесть, что вычислительная машина с 20+ TFLOPS GPU достаточно дешева.
MttJocy
aptне работает для меня, как вы объясняете. В нем говорится, что 7 пакетов могут быть обновлены. Запустите «apt list --upgradable», чтобы увидеть их.
MusiKk
19

Как говорит @chaskes, это проблема с хранилищем, а не с вашим компьютером.

У @webwurst есть хорошие ссылки на основную проблему. Также есть пояснения по поводу подписей.

Если вы размещаете репозиторий, который выдает эти ошибки. Решение состоит в том, чтобы изменить значение cert-digest-algoпо умолчанию SHA256. По умолчанию gnupg по умолчанию используетSHA1

После того, как вы исправите эту проблему, следующее предупреждение будет о том, что подпись «использует алгоритм слабого дайджеста (SHA1)», и чтобы исправить это, вы также можете установить digest-algoна SHA256.

Эти значения отправляются на сервер хранилища, на gpg.confкотором используется хранилище.

Короткая рука должна добавить

cert-digest-algo SHA256
digest-algo SHA256

в ваш ~/.gnupg/gpg.confфайл.

У нашего проекта есть здесь, где должен быть пример того, как это исправить для нашего механизма развертывания.

Талли
источник
4

Чтобы избежать этой ошибки, вы можете удалить хранилище.

Обратите внимание, что удаление репозитория не позволит Chrome получать какие-либо обновления , включая важные обновления безопасности!
Это сделает ваш браузер уязвимым для растущего числа угроз с течением времени!

Если вы действительно хотите полностью удалить или отключить репозиторий, вам следует рассмотреть возможность удаления Chrome и перехода к другому браузеру, например, к его варианту с открытым исходным кодом chromium.

Эта заметка была добавлена ByteCommander .

Сначала поиск Software and Updatesв Dash. Откройте его и переключитесь на Other Softwareвкладку.

Там ищите такую ​​запись:

http://dl.google.com/linux/earth/deb/dists/stable/

введите описание изображения здесь

и удали это.

Наконец перейдите на Authenticationвкладку , и вы найдете что - то упоминая «Google», удалите это тоже.

Он должен перестать показывать это надоедливое сообщение об ошибке каждый раз, когда вы пытаетесь обновить свои репозитории сейчас.

Хайет Махамуд
источник
12
Это также остановит будущие обновления Google Chrome, что, вероятно, не то, что хочет ОП.
edwinksl
Примечание: теперь исправлен хром ppa.
starbeamrainbowlabs