ลายเซ็นต่อไปนี้ไม่ถูกต้อง: EXPKEYSIG 1397BC53640DB551


90

นี่คือปัญหา 952287: [ความคิดเห็นของผู้ใช้ - เสถียร] รายงานของ Chrome สำหรับ Linux ล้มเหลวในการติดตั้ง / อัปเดตเนื่องจากคีย์การลงนาม GPG ที่หมดอายุแล้ว


วันนี้การทำงานaptในเครื่องของฉันทั้งหมดมีข้อผิดพลาดนี้กับ Google PPA (สำหรับgoogle-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

ลองนำเข้ากุญแจ GPG อีกครั้งด้วย:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

ที่มา: คลังซอฟต์แวร์ของ Google Linux

แก้ไข: เพิ่มบรรทัดข้อผิดพลาดเป็นภาษาสเปนเพื่อการมองเห็นที่ดีขึ้น:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: และ French (เพื่อให้ครอบคลุม3 ภาษาแรก ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
มันก็เกิดขึ้นกับฉันเช่นกัน
Fred

8
โหวตขึ้นลิงค์นี้support.google.com/chrome/thread/4032170?hl=thและรอ! เราไม่สามารถทำอะไรได้มากกว่านี้
Carlos Alberto Silveira de และ

1
ฉันได้เพิ่มลิงก์ไปยังรายงานข้อผิดพลาดที่ด้านบนของโพสต์ โปรดย้ายหรือลบออก
DK Bose

4
ฉันคิดว่ามันได้รับการแก้ไขแล้ว
Leo

1
เรื่องนี้เกิดขึ้นกับฉันในวันนี้ 8 วันต่อมาและมันก็ยังคงเกิดขึ้น
Gregory Smitherman

คำตอบ:


64

นี่คือการป้องกันที่คุณได้รับจากการตรวจสอบเหล่านี้ คุณไม่ต้องการอัปเดตซอฟต์แวร์ของคุณตอนนี้ในขณะที่บางสิ่งเกิดขึ้นที่จุดสิ้นสุดของ Google รอจนกว่าพวกเขาจะแก้ไข อย่าพยายามลบล้างโดยการติดตั้งคีย์ใหม่จนกว่าจะมีคำที่เป็นทางการออกมาว่าคีย์ใหม่เป็นโซลูชัน


9
รอจนกว่าพวกเขาจะแก้ไขมันอาจจะไม่ใช่ตัวเลือกสำหรับทุกคน เช่นนี้จะทำลายท่อ CI สำหรับเรา หากคุณในขณะนี้สิ่งที่คุณกำลังทำคุณอาจจะใช้เวลาความเสี่ยงและการตรวจสอบการปิดการใช้งานสำหรับ repo นี้ได้ในขณะนี้โดยการเพิ่ม[trusted=yes]ของมันการกำหนดค่า:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan

4
นี่ไม่ใช่ครั้งแรกที่สิ่งนี้เกิดขึ้น ฉันจำได้ว่ามีปัญหาเดียวกันนี้กับ google อย่างน้อย 2 ครั้งในช่วงหลายปีที่ผ่านมา ฉันสงสัยว่าเกิดอะไรขึ้นกับ Google และทำไมพวกเขาจึงไม่สามารถเก็บข้อมูลของพวกเขาไว้ด้วยกันได้
Michael Härtl

4
@jelhan นั่นคือสาเหตุที่ท่อ CI เจาะเข้าไปในกระจก / แคชในท้องถิ่นแทนที่จะไปที่ต้นน้ำโดยตรง
Konrad Rudolph

2
@ MichaelHärtlฉันได้ดู Google แล้วดูเหมือนว่าพวกคนทำบุญจะไม่เป็นที่นิยม
DK Bose

6
trusted=yesเอาชนะจุดประสงค์ทั้งหมดของการเซ็นชื่อแบบดิจิทัลและโดยทั่วไปจะทำให้ระบบทั้งหมดของคุณด้อยลง คุณไม่ควรทำเช่นนั้นโดยเฉพาะอย่างยิ่งไม่ใช่ความคิดที่ดีสำหรับ "วิธีแก้ปัญหาชั่วคราว"
kissgyorgy

33

เห็นได้ชัดว่า Google ไม่ได้ขยายความถูกต้องของใบรับรองการลงนาม ... มันเป็นเพราะจะสิ้นสุดในวันนี้และมันก็ทำ https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

บางที Google อาจจะเปลี่ยนวันนี้หรือวันนี้…จากนั้นการอัปเดตใบรับรองควรทำงานได้ดีและทุกอย่างควรกลับมาเป็นปกติ


15

ปัญหาได้รับการแก้ไขโดย Google Abr 12/2019 (เฉพาะ Google Chrome ทดสอบใน Ubuntu 18.04.x)

ป้อนคำอธิบายรูปภาพที่นี่ ไม่มีอะไรให้ทำ. พื้นที่เก็บข้อมูลได้รับการลงนามแล้ว

อัพเดท apr 19/2019:

ป้อนคำอธิบายรูปภาพที่นี่

ทีม Google ได้ยืนยันว่ามีการแก้ไขเพิ่มเติมสำหรับผลิตภัณฑ์อื่น ๆ ที่ไม่ใช่ Chrome ของ Google แล้ว

แหล่งที่มา: https://support.google.com/chrome/thread/4032170


1
คุณรายงานเรื่องนี้ที่ไหน Google ยังไม่ได้แก้ไขในที่เก็บอื่น ๆ เช่น Music Manager ดังนั้นฉันต้องการรายงานเช่นกัน
Paddy Landau

9

ดูเหมือนว่าคีย์การลงชื่อของ Google หมดอายุแล้ว อดทนและรอให้พวกเขาแก้ไข (ซึ่งอาจจะหรืออาจไม่จำเป็นต้องเพิ่มรหัสอีกครั้งหลังจากที่พวกเขาแก้ไขแล้ว)


1

สำหรับทุกคนที่ไม่อดทนพอที่ Google จะอัปเดตใบรับรอง ...

คุณสามารถแก้ไขได้ด้วยขั้นตอนต่อไปนี้:

  1. ดาวน์โหลดสิ่งนี้: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(รุ่นใหม่ของ chrome คุณสามารถรับได้ด้วย googling chrome)

  1. ปิด Chrome
  2. เปิด "ซอฟต์แวร์และแหล่งที่มา" ไปที่แท็บ "แหล่งที่มา"
  3. ลบ (หรือปิดใช้งานหากคุณต้องการเปิดใช้งานอีกครั้งในภายหลัง) ที่มาของ Google (พิมพ์รหัสผ่านของคุณ) และปิดหน้าต่าง
  4. อนุญาตให้ "ซอฟต์แวร์และแหล่งที่มา" เพื่อโหลดแหล่งที่มา
  5. ไปที่ Software Center ไปที่ "ติดตั้ง"
  6. ค้นหา Chrome ถอนการติดตั้ง
  7. ปิดซอฟต์แวร์และแหล่งที่มา
  8. เปิดเทอร์มินัลพิมพ์:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. ปิดเทอร์มินัลแล้วไปที่โฟลเดอร์ดาวน์โหลดแล้วดับเบิ้ลคลิกที่ไฟล์ "google-chrome-stable_current_amd64.deb" (จะเปิด Software Center)

  10. คลิกติดตั้ง

ตอนนี้คุณสามารถเปิดการสำรองข้อมูล Chrome แล้ว แท็บและรหัสผ่านที่บันทึกไว้ทั้งหมดของคุณและ ect ทั้งหมดยังคงอยู่


@CarlosAlbertoSilveirade และพูดว่า "เยี่ยมมากทำงานให้ฉันด้วย! ขอบคุณ" แต่เป็นการแก้ไขโพสต์ของฉันเพราะเขาไม่ทราบวิธีการใช้เว็บไซต์นี้ .... ฉันเพิ่มมันเพื่อให้คนอื่นรู้ว่ามันทำงานได้สำหรับใครบางคน
tatsu

1

15 เมษายนและฉันยังคงได้รับข้อผิดพลาดนี้กับที่เก็บ Google Earth และ Music Manager พวกเขาแน่ใจว่าสละเวลาอันแสนหวานนี้


0

คุณทำไม่ได้ คุณต้องรอให้ Google ต่ออายุกุญแจและอัปเดต

ข้อความสำคัญคือ:

ลายเซ็นต่อไปนี้ไม่ถูกต้อง: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (ผู้มีอำนาจในการลงนามแพ็คเกจ Linux)

หมายความว่าลายเซ็นเข้ารหัสนั้นไม่ถูกต้อง แหล่งที่มาของสิ่งนี้อาจเป็นการโจมตีการกำหนดค่าผิดพลาดหรือปัญหาทางเทคนิคอื่น ๆ การบังคับให้ระบบอัปเดตจะส่งผลให้มีการเรียกใช้เว็บเบราว์เซอร์ในเวอร์ชันที่ไม่ผ่านการตรวจสอบซึ่งอาจทำให้คุณประสบปัญหาด้านความปลอดภัยจำนวนมาก

แหล่ง


0

Google จำเป็นต้องอัปเดตรหัส GPG อย่างไรก็ตามคุณสามารถทำเครื่องหมายแหล่งที่มาของ deb ว่าเชื่อถือได้จนกว่า Google จะต่ออายุคีย์ของพวกเขา:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. เพิ่มtrusted=yesในไฟล์/etc/apt/sources.list.d/google-chrome.listของคุณเพื่อให้มีลักษณะดังนี้:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

คุณยังคงได้รับข้อผิดพลาด GPG ที่ไม่ถูกต้อง แต่คุณสามารถเพิกเฉยได้

หมายเหตุ : โปรดระวังเนื่องจากอาจทำให้เกิดปัญหาด้านความปลอดภัยในเครือข่ายที่ไม่น่าเชื่อถือเมื่อไม่มีการใช้ https ในลิงก์แหล่งที่มาของ deb

แก้ไข:คำเตือน GPG ไม่ปรากฏขึ้นอีกต่อไป Google ได้ต่ออายุกุญแจ ถ้าคุณทำตามวิธีการด้านบนเพียงแค่เอาtrusted=yesส่วนหนึ่งแล้วและในที่สุดapt clean apt updateคุณไม่ควรเห็นข้อผิดพลาดอีกต่อไป: D


2
อย่าทำอย่างนี้ หากไม่มีเหตุผลอื่นใดนอกจากแหล่งที่ไม่ได้เข้ารหัส ถ้าคุณทำอย่างนี้ลืมทุกอย่างเกี่ยวกับมันแล้วหลงเข้าสู่เครือข่ายที่ไม่ดีก็สามารถจะสกัดกั้นและทำลายปล่อย packages.list และดังนั้นจึงเป็นหลักทำงานอะไรมันชอบเป็นรากในคอมพิวเตอร์ของคุณ มันไม่ใช่ความคิดที่ดี
Oli

2
คุณพลาดจุดของฉัน หากใครบางคนสามารถขัดขวางทราฟฟิกเครือข่ายของคุณพวกเขาอาจหลอกว่าเป็น Google ไม่มี TLS ใน http: // การเชื่อมต่อ โดยปกติ Apt มีคุณกลับมาที่นี่เพราะพวกเขาตรวจสอบว่ามีการเซ็นชื่อรุ่นและรายการแพ็คเกจทั้งหมด หากคุณดักจับสิ่งนี้ตามปกติ - และเปลี่ยนแปลงสิ่งที่เป็นอันตราย - คุณจะเห็นข้อผิดพลาดในการลงชื่อ คุณกำลังข้ามกลไกทั้งหมดที่นี่
Oli

1
จริง ขอบคุณสำหรับคำอธิบาย
Dimitris Moraitidis

2
ตกลง แต่คุณสามารถทำได้เพียงชั่วคราวด้วยhttps ที่เชื่อถือได้ = ใช่ (สำหรับตอนนี้สมมติว่าคุณไม่ได้เป็น TLS MiTM) ตัวอย่างเช่น:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
อีกทั้งยังแน่นอน ดังนั้นฉันเดาการแก้ไขล่าสุดของฉันอย่างน้อยฉันควรกลับไปที่ 0 แทน -2: P
Dimitris Moraitidis

0

ดูเหมือนเป็น @DooMMasteR กล่าวว่าGoogle ช่วยให้การลงนามในใบรับรองหมดอายุสำหรับพวกเขาที่เก็บลินุกซ์ซึ่งเป็นวันที่ครบกำหนด12 เมษายน @yareckon อธิบายว่าaptข้อผิดพลาดด้านความปลอดภัยนี้ทำงานตามที่คาดไว้เพื่อป้องกันการติดตั้งซอฟต์แวร์ที่ลงชื่อไม่ดี

9 ชั่วโมงหลังจากที่ปัญหาถูกโพสต์, Google คงใบรับรองโปร่งใสสำหรับผู้ใช้ใช้ Google Chrome repo ข้อผิดพลาดจะหยุดลงหลังจากที่พวกเขาต่ออายุ certs และยังคงอยู่ในส่วนที่เหลือของ repos ที่เป็นของ Google (Google Earth, Google Music Manager ... )

ไม่จำเป็นต้องดำเนินการใด ๆ (และแนะนำ) จากด้านผู้ใช้เพียงแค่รอให้ repos ที่ใช้งานได้รับการลงชื่อด้วยรหัสต่ออายุ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.