Các chữ ký sau đây không hợp lệ: EXPKEYSIG 1397BC53640DB551


90

Đây là Sự cố 952287: [Phản hồi của người dùng - Ổn định] Báo cáo về Chrome cho Linux không cài đặt / cập nhật do khóa ký GPG đã hết hạn


Hôm nay, việc chạy apttrong tất cả các máy của tôi gây ra lỗi này với Google PPA (cho google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Đã thử nhập lại khóa GPG với:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Nguồn: Kho phần mềm Google Linux

EDIT: thêm dòng lỗi trong tiếng Tây Ban Nha để nhìn rõ hơn:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: và tiếng Pháp (bao gồm 3 ngôn ngữ hàng đầu ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
Nó chỉ xảy ra với tôi là tốt.
Fred

8
upvote liên kết này support.google.com/chrom/thread/4032170?hl=vi và chờ đợi! Chúng tôi không thể làm gì hơn.
Carlos Alberto Silveira de và

1
Tôi đã thêm một liên kết đến báo cáo lỗi ở đầu bài. Xin vui lòng di chuyển nó hoặc xóa nó.
DK Bose

4
Tôi nghĩ rằng nó đã được sửa bây giờ
Leo

1
Điều này đã xảy ra với tôi hôm nay, 8 ngày sau và nó vẫn đang diễn ra.
Gregory Smitherman

Câu trả lời:


64

Đây là sự bảo vệ bạn đang nhận được từ những kiểm tra này. Bạn không muốn cập nhật phần mềm của mình ngay bây giờ trong khi có gì đó không ổn ở phần cuối của Google. Đợi đến khi họ sửa nó. Đừng cố gắng ghi đè bằng cách cài đặt lại các khóa cho đến khi một số từ chính thức xuất hiện rằng một khóa mới là giải pháp.


9
Chờ cho đến khi họ sửa nó có thể không phải là một lựa chọn cho tất cả. Ví dụ, điều này đang phá vỡ đường ống CI cho chúng tôi. Nếu bây giờ bạn đang làm gì, bạn có thể mạo hiểm và vô hiệu hóa kiểm tra cho repo này ngay bây giờ bằng cách thêm [trusted=yes]vào cấu hình của nó:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan

4
Đây không phải là lần đầu tiên điều này xảy ra. Tôi nhớ có vấn đề tương tự với google ít nhất 2 lần nữa trong những năm qua. Tôi tự hỏi chuyện gì đang xảy ra ở Google và tại sao họ không thể giữ những thứ của họ lại với nhau.
Michael Härtl

4
@jelhan Đó là lý do tại sao đường ống CI lý tưởng chạm vào gương / bộ nhớ cache cục bộ thay vì đi thẳng lên thượng nguồn.
Konrad Rudolph

2
@ MichaelHärtl Tôi đã xem Google và chế độ nhân tài dường như không còn thịnh hành.
DK Bose

6
trusted=yesđánh bại toàn bộ mục đích ký kết kỹ thuật số và về cơ bản thỏa hiệp toàn bộ hệ thống của bạn. Bạn không nên làm điều đó một cách nhẹ nhàng, đặc biệt không phải là một ý tưởng tốt cho một "cách giải quyết tạm thời".
Kissgyorgy


15

vấn đề đã được Google Abr 12/2019 giải quyết (Chỉ Google Chrome. Đã thử nghiệm trong Ubuntu 18.04.x)

nhập mô tả hình ảnh ở đây Không có gì để làm. Các kho lưu trữ đã được ký

Cập nhật ngày 19 tháng 9 năm 2019:

nhập mô tả hình ảnh ở đây

Google Team đã xác nhận rằng các bản sửa lỗi bổ sung đã được đưa ra cho các sản phẩm khác không phải của Chrome

nguồn: https://support.google.com/chrom/thread/4032170


1
Bạn đã báo cáo điều đó ở đâu? Google vẫn chưa sửa nó trên một số kho lưu trữ khác, ví dụ Trình quản lý nhạc, vì vậy tôi cũng muốn báo cáo điều đó.
Paddy Landau

9

Có vẻ như các khóa ký của Google đã hết hạn. Hãy kiên nhẫn và chờ họ sửa chúng (có thể hoặc không cần thêm lại khóa sau khi họ sửa nó).


1

Đối với bất cứ ai không đủ kiên nhẫn để google cập nhật chứng chỉ ...

bạn có thể khắc phục điều này bằng các bước sau:

  1. Tải xuống cái này: https://dl.google.com/linux/direct/google-chrome-urdy_civerse_amd64.deb

(chrome phiên bản mới, bạn có thể tự lấy nó bằng cách googling chrome)

  1. Đóng Chrome.
  2. Mở "Phần mềm và nguồn", chuyển đến tab "Nguồn"
  3. Xóa (hoặc tắt nếu bạn muốn bật lại sau) nguồn Google (nhập mật khẩu của bạn) và đóng cửa sổ
  4. Cho phép "Phần mềm và nguồn" tải lại nguồn
  5. Đi vào Trung tâm phần mềm, đi đến "Đã cài đặt"
  6. Tìm Chrome, gỡ cài đặt nó.
  7. Đóng phần mềm và nguồn
  8. Mở một thiết bị đầu cuối, gõ:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Đóng thiết bị đầu cuối và đi đến thư mục tải xuống của bạn và nhấp đúp vào tệp "google-chrome-ổn_cản_amd64.deb" (điều này sẽ mở Trung tâm phần mềm)

  10. Nhấp vào Cài đặt

bây giờ bạn có thể mở chrome sao lưu. tất cả các tab và mật khẩu đã lưu của bạn vẫn còn đó.


@CarlosAlbertoSilveiradeAnd đã nói "Tuyệt vời !!, làm việc cho tôi! Cảm ơn" nhưng là một chỉnh sửa cho bài viết của tôi vì anh ấy chưa biết cách sử dụng trang web này .... Tôi đang thêm nó để mọi người biết nó hoạt động cho ai đó.
tatsu

1

Ngày 15 tháng 4 và tôi vẫn gặp lỗi này với kho lưu trữ Google Earth và Trình quản lý nhạc. Họ chắc chắn đang dành thời gian ngọt ngào của họ với điều này.


0

Bạn không. Bạn phải đợi Google gia hạn khóa của họ và cập nhật.

Thông điệp quan trọng là:

Các chữ ký sau đây không hợp lệ: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Cơ quan ký kết các gói Linux)

Nó có nghĩa là chữ ký điện tử không hợp lệ. Nguồn gốc của điều này có thể là một cuộc tấn công, cấu hình sai hoặc loại vấn đề kỹ thuật khác. Buộc hệ thống của bạn cập nhật sẽ dẫn đến việc chạy phiên bản trình duyệt web chưa được xác minh, điều này có thể khiến bạn gặp nhiều rắc rối về bảo mật.

nguồn


0

Google cần cập nhật khóa GPG. Tuy nhiên, bạn có thể đánh dấu nguồn gỡ lỗi là đáng tin cậy, cho đến khi Google gia hạn khóa của họ:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. thêm trusted=yesvào tệp /etc/apt/source.list.d/google-chrome.list của bạn để nó trông như thế này:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Bạn vẫn nhận được một lỗi GPG không hợp lệ, nhưng bây giờ bạn có thể bỏ qua nó.

LƯU Ý : Hãy cẩn thận vì điều này có thể mang đến các vấn đề bảo mật, trên các mạng không đáng tin cậy, khi không sử dụng https trong liên kết nguồn gỡ lỗi.

EDIT: Cảnh báo GPG không còn xuất hiện. Google đã gia hạn khóa của họ. Nếu bạn đã làm theo giải pháp trên, chỉ cần xóa trusted=yesphần đó, rồi apt clean& cuối cùng apt update. Bạn sẽ không còn thấy bất kỳ lỗi nào: D


2
Đừng làm điều này. Nếu không vì lý do nào khác ngoài nguồn không được mã hóa. Nếu bạn đã làm điều này, quên tất cả về nó và sau đó đi lạc vào một mạng xấu, nó có thể dễ dàng chặn và phá hủy Bản phát hành, gói.list, và do đó về cơ bản chạy bất cứ thứ gì nó thích như root trên máy tính của bạn. Nó không phải là một ý tưởng tốt.
Oli

2
Bạn đã bỏ lỡ quan điểm của tôi. Nếu ai đó có thể chặn lưu lượng truy cập mạng của bạn, họ có thể giả vờ là Google. Không có TLS trên kết nối http: //. Thông thường Apt có mặt sau của bạn ở đây vì họ kiểm tra xem tất cả các danh sách phát hành và gói đã được ký chưa. Nếu bạn chặn điều này, bình thường, và đã thay đổi một cách độc hại một thứ gì đó mà bạn sẽ thấy có lỗi khi ký. Bạn đang bỏ qua toàn bộ cơ chế ở đây.
Oli

1
Thật. Cảm ơn lời giải thích
Dimitris Moraitidis

2
Đồng ý, nhưng bạn có thể tạm thời tạo https bằng tin cậy = có (hiện tại, giả sử bạn không phải là TLS MiTM). Ví dụ:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
Cũng thực sự. Vì vậy, tôi đoán bản chỉnh sửa gần đây của mình, ít nhất tôi nên quay về 0 thay vì -2: P
Dimitris Moraitidis

0

Có vẻ như, như @DooMMasteR đã nói, Google cho phép ký chứng nhận hết hạn cho kho Linux của họ , ngày đáo hạn là ngày 12 tháng 4 . @yareckon giải thích rằng aptlỗi bảo mật này đang hoạt động như mong đợi để ngăn chặn phần mềm được ký xấu được cài đặt.

9 giờ sau khi vấn đề được đăng, Google đã sửa lỗi minh bạch cho người dùng sử dụng Google Chrome repo . Lỗi đã dừng sau khi họ gia hạn certs, dần dần cũng xuất hiện trên phần còn lại của các repos thuộc sở hữu của Google (Google Earth, Google Music Manager ...).

Không có hành động nào là cần thiết (và được khuyến nghị) từ phía người dùng, chỉ chờ các repos đang sử dụng được ký với các khóa được gia hạn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.