Làm cách nào để sửa apt: Chữ ký theo khóa sử dụng thuật toán tiêu hóa yếu (SHA1)?

129

Tôi bắt đầu thiết lập bằng cách thêm các kho lưu trữ và sau đó chạy sudo apt-get updatelại trước khi tôi bắt đầu cài đặt phần mềm khác, và tôi nhận được các dòng khóa Chữ ký và nó dừng lại. Vì vậy, về cơ bản nó sẽ không cho phép tôi cập nhật bất kỳ gói nào bây giờ.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Tôi chưa bao giờ thấy điều này trước khi tôi thiết lập và bắt đầu cài đặt mọi thứ trong Ubuntu. Tôi có thể làm gì khác không?

apt

— dlchang
nguồn

2

Có cùng một vấn đề chính xác. Tôi đoán rằng nó chỉ có thể được sửa chữa về phía Google hoặc có thể cho phép kiểm tra các bản cập nhật trong kho với "thuật toán bảo mật yếu" nhưng tôi không biết làm thế nào và có thể sẽ gặp rủi ro bảo mật. Như đã nêu trong blog này , động thái này là từ nguồn cung cấp trong Debian không ổn định và Canonical bao gồm nó bởi vì:> Xenial (Ubuntu 16.04 LTS) sẽ được hỗ trợ trong 5 năm và bối cảnh có thể thay đổi rất nhiều trong 5 năm tới. Bằng cách này, có một lỗi nộp trong Launchpad [ở đây] ( bugs.launchpad.net/ubuntu

— Erwinstein

Không chỉ với Google, tôi cũng gặp vấn đề tương tự với trình điều khiển Samsung và Virtualbox ...

— ionreflex

1

Như một giải pháp tạm thời, đối với hầu hết tất cả ý định và mục đích, bạn có thể thử và cài đặt trình duyệt crom gần như giống hệt nhau. Vì nó xuất phát từ repos Canonical, nên nó không có vấn đề này.

— arielf

Đâu là nơi thích hợp để báo cáo lại vấn đề này với Google để khắc phục sự cố với kho lưu trữ Google Chrome của họ?

— orschiro

@arielf Ya, tôi đã kết thúc việc đó trong khi chờ đợi một bản sửa lỗi từ Google, vì đó dường như là điều duy nhất có thể được thực hiện từ tìm kiếm của tôi trên các diễn đàn.

— dlchang

63

Vấn đề với nguồn Google là ở phần cuối của Google, nhưng apt-getchỉ báo cáo sự cố dưới dạng cảnh báo. Vấn đề này không ngăn bạn nâng cấp các gói.

Bạn đang sử dụng apt-getvà những gì bạn đang nhìn thấy là hành vi bình thường sau khi chạy update: nó thực hiện các cập nhật nhưng không cung cấp thêm thông tin.

Bạn cần phải làm theo sudo apt-get updatevới sudo apt-get upgradeđể xem nếu có nâng cấp gói có sẵn.

Cái mới hơn sudo apt update(chú ý là nó apt) sẽ cung cấp phản hồi về kết quả.

Bằng cách sử dụng apt, bạn sẽ thấy một thông báo rằng

All packages are up to date

hoặc là

The following packages will be upgraded:

Cũng thấy apt list --upgradeable.

— thùng
nguồn

1

Ồ, tôi không biết về cái mới hơn sudo apt update, cảm ơn bạn tôi sẽ thử nó. Và tôi đoán tôi chỉ nghĩ rằng nó hoàn toàn không hoạt động là vì các dòng cuối cùng là các dòng Chữ ký và nó chỉ dừng lại sau đó nên tôi cho rằng nó không cập nhật. Vì vậy, đó chỉ là một cảnh báo cho vấn đề đó, nhưng tiếp tục mà không can thiệp vào các bản cập nhật khác?

— dlchang

1

@dlchang Đúng vậy. :)

— chaskes

Chrome là IE của thập kỷ tiếp theo ... dù sao đi nữa, điều này không đúng về "Tất cả các gói đều được cập nhật" apt, tôi nhận được các cảnh báo chính xác tương tự. Chrome đã có quá nhiều vấn đề như thế này trong vài tháng qua, những người dùng linux tuyệt vời của nó thậm chí còn sử dụng nó (thật không may là tôi phải dùng webdev).

— Todd

3

@Todd Bạn vẫn sẽ nhận được các cảnh báo vì kho lưu trữ google vẫn được ký với khóa SHA1 không được dùng nữa. Lý do cho điều này là do SHA1 đã được phát hiện có va chạm làm giảm sức mạnh hiệu quả của nó làm suy yếu tính bảo mật của nó đến một mức độ không thể chấp nhận được. Đó là lý do tương tự tại sao các trình duyệt bao gồm cả chrome trớ trêu sẽ phàn nàn về chứng chỉ SSL sử dụng SHA1. Sức mạnh hiệu quả chỉ vào khoảng 2 ^ 60-2 ^ 70 hoạt động hoặc hiện tại không đủ tốt khi xem xét một máy tính GPU 20 TFLOPS là đủ rẻ.

— MttJocy

aptkhông làm việc cho tôi như bạn giải thích. Nó cho biết 7 gói có thể được nâng cấp. Chạy 'danh sách apt - nâng cấp' để xem chúng.

— musiKk

32

Debian và Ubuntu thi hành SHA256các mục nhập cao hơn hoặc cao hơn trong các tệp Phát hành và / hoặc Gói kể từ tháng Ba . Các kho lưu trữ thiếu những thứ này cần phải được sửa bởi chủ sở hữu của chúng.

Có một cái nhìn tổng quan về các kho lưu trữ bị hỏng trong wiki Debian.

— webwurst
nguồn

19

Như @chaskes nói rằng đây là sự cố với kho lưu trữ không phải với máy tính của bạn.

@webwurst có liên kết tốt đến vấn đề tiềm ẩn. Cũng có một sự làm rõ về chữ ký.

Nếu bạn đang lưu trữ một kho lưu trữ đang đưa ra những lỗi này. Giải pháp là thay đổi mặc định cert-digest-algothành SHA256. Theo mặc định, gnupg mặc định sử dụngSHA1

Sau khi bạn khắc phục vấn đề này cảnh báo tiếp theo sẽ là chữ ký "sử dụng tiêu hóa thuật toán yếu (SHA1)" Và để khắc phục điều đó, bạn có thể thiết lập digest-algođể SHA256là tốt.

Các giá trị này đi trên máy chủ kho lưu trữ gpg.confmà kho đang sử dụng.

Tay ngắn là để chắp thêm

cert-digest-algo SHA256
digest-algo SHA256

vào ~/.gnupg/gpg.conftập tin của bạn .

Dự án của chúng tôi đã được bán vé ở đây nên có một ví dụ về cách khắc phục nó cho cơ chế triển khai của chúng tôi.

— Tully
nguồn

4

Để tránh lỗi này, bạn có thể loại bỏ kho lưu trữ.

Xin lưu ý rằng việc xóa kho lưu trữ sẽ ngăn Chrome nhận bất kỳ bản cập nhật nào , kể cả các bản cập nhật bảo mật quan trọng!
Điều này sẽ khiến trình duyệt của bạn dễ bị đe dọa với số lượng mối đe dọa ngày càng tăng theo thời gian!

Nếu bạn thực sự muốn xóa hoặc vô hiệu hóa hoàn toàn kho lưu trữ, bạn nên xem xét gỡ cài đặt Chrome và chuyển sang một trình duyệt khác, như biến thể nguồn mở của nó chromium.

_{Ghi chú này đã được thêm bởi ByteCommander .}

Đầu tiên tìm kiếm Software and Updatestrong Dash. Mở nó và chuyển sang Other Softwaretab.

Trong đó tìm kiếm một mục như thế này:

http://dl.google.com/linux/earth/deb/dists/stable/

và loại bỏ nó.

Cuối cùng, đi đến Authenticationtab và bạn sẽ tìm thấy một cái gì đó đề cập đến "Google", cũng loại bỏ nó.

Nó sẽ ngừng hiển thị thông báo lỗi gây phiền nhiễu mỗi khi bạn cố cập nhật kho lưu trữ của mình ngay bây giờ.

— Hayet Mahamud
nguồn

12

Điều này cũng sẽ dừng các bản cập nhật trong tương lai cho Google Chrome, đây có lẽ không phải là điều OP muốn.

— edwinksl

Lưu ý: Hiện tại ppa chrome đã được sửa.

— starbeamrainbowlabs