จะแก้ไข apt ได้อย่างไร: Signature by key ใช้อัลกอริธึมการแยกย่อยที่อ่อนแอ (SHA1)

129

ฉันเริ่มตั้งค่าโดยเพิ่มที่เก็บจากนั้นไปเรียกใช้sudo apt-get updateอีกครั้งก่อนที่ฉันจะเริ่มติดตั้งซอฟต์แวร์อื่นและฉันได้รับลายเซ็นกุญแจและมันจะหยุด ดังนั้นโดยพื้นฐานแล้วจะไม่ให้ฉันอัปเดตแพ็คเกจใด ๆ ในตอนนี้

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

ฉันไม่เคยเห็นสิ่งนี้มาก่อนเมื่อใดก็ตามที่ฉันติดตั้งและเริ่มติดตั้งสิ่งต่าง ๆ ใน Ubuntu มีอย่างอื่นที่ฉันสามารถทำได้หรือไม่?

apt

— dlchang
แหล่งที่มา

2

มีปัญหาเดียวกันแน่นอน ฉันเดาว่ามันสามารถแก้ไขได้ที่ด้านข้างของ Google หรืออาจอนุญาตให้ตรวจสอบการอัปเดตในที่เก็บด้วย "อัลกอริทึมการรักษาความปลอดภัยที่อ่อนแอ" แต่ฉันไม่รู้ว่าจะมีความเสี่ยงด้านความปลอดภัยอย่างไร ตามที่ระบุไว้ในบล็อกนี้การย้ายมาจากแหล่งข้อมูลใน Debian ที่ไม่เสถียรและ Canonical รวมอยู่ด้วยเพราะ:> Xenial (Ubuntu 16.04 LTS) จะได้รับการสนับสนุนเป็นเวลา 5 ปีและภูมิทัศน์อาจเปลี่ยนแปลงไปมากใน 5 ปีข้างหน้า โดยวิธีการที่มีข้อผิดพลาดยื่นใน Launchpad [ที่นี่] ( bugs.launchpad.net/ubuntu

— Erwinstein

ไม่เพียง แต่กับ Google ฉันมีปัญหาเดียวกันกับไดรเวอร์ Samsung และ Virtualbox ...

— ionreflex

1

สำหรับวิธีแก้ปัญหาชั่วคราวสำหรับเกือบทุกเจตนาและวัตถุประสงค์คุณอาจลองและติดตั้งโครเมียมเบราว์เซอร์ที่เหมือนกันส่วนใหญ่ เนื่องจากมาจาก repos Canonical มันไม่ควรมีปัญหานี้

— arielf

สถานที่ที่เหมาะสมในการรายงานสิ่งนี้กลับไปที่ Google เพื่อแก้ไขปัญหากับที่เก็บ Google Chrome ของพวกเขาอยู่ที่ไหน

— orschiro

@arielf Ya ฉันลงเอยด้วยการทำเช่นนั้นในขณะที่รอการแก้ไขจาก Google เนื่องจากดูเหมือนจะเป็นสิ่งเดียวที่สามารถทำได้จากการค้นหาในฟอรัม

— dlchang

63

ปัญหาเกี่ยวกับแหล่งที่มาของ Google อยู่ที่จุดสิ้นสุดของ Google แต่apt-getเพิ่งรายงานปัญหาดังกล่าวเป็นการเตือน ปัญหานี้ไม่ได้หยุดคุณจากการอัพเกรดแพ็คเกจ

คุณกำลังใช้งานapt-getและสิ่งที่คุณเห็นเป็นพฤติกรรมปกติหลังจากใช้งานupdate: ทำการอัปเดต แต่ไม่ได้ให้ข้อมูลเพิ่มเติม

คุณต้องติดตามsudo apt-get updateด้วยsudo apt-get upgradeเพื่อดูว่ามีการอัพเกรดแพ็คเกจหรือไม่

ใหม่กว่าsudo apt update(สังเกตว่าเป็นเพียงapt) จะให้ข้อเสนอแนะเกี่ยวกับผลลัพธ์

เมื่อใช้aptคุณจะเห็นข้อความว่า

All packages are up to date

หรือ

The following packages will be upgraded:

apt list --upgradeableยังเห็น

— chaskes
แหล่งที่มา

1

โอ้ฉันไม่รู้เรื่องใหม่กว่าsudo apt updateนี้ขอบคุณฉันจะลองดู และฉันคิดว่าฉันแค่คิดว่ามันใช้งานไม่ได้เลยเพราะบรรทัดสุดท้ายคือลายเซ็นของลายเซ็นและมันก็หยุดหลังจากนั้นฉันเลยคิดว่ามันไม่ได้อัพเดท ดังนั้นนี่เป็นเพียงคำเตือนสำหรับปัญหานั้น แต่ยังคงดำเนินต่อไปโดยไม่รบกวนการอัปเดตอื่น ๆ

— dlchang

1

@dlchang ถูกต้อง :)

— chaskes

Chrome เป็น IE ในทศวรรษหน้า ... อย่างไรก็ตามนี่ไม่เป็นความจริงเกี่ยวกับ "แพ็คเกจทั้งหมดเป็นข้อมูลล่าสุด" ด้วยaptฉันได้รับคำเตือนเหมือนกันทุกประการ Chrome มีปัญหามากมายเช่นนี้ในช่วงไม่กี่เดือนที่ผ่านมาผู้ใช้งานลินุกซ์ที่น่าทึ่งของมันยังใช้งานได้ (ฉันต้อง webdev สำหรับโชคไม่ดี)

— ทอดด์

3

@Todd คุณจะยังคงได้รับคำเตือนเนื่องจากพื้นที่เก็บข้อมูลของ Google ยังคงลงชื่อด้วยรหัส SHA1 ซึ่งเป็นค่าเสื่อมราคา เหตุผลนี้เป็นเพราะ SHA1 ถูกพบว่ามีการชนที่ลดลงมันมีประสิทธิภาพความแข็งแรงลดลงมันมีความปลอดภัยในระดับที่ยอมรับไม่ได้ มันเป็นเหตุผลเดียวกันกับที่เบราว์เซอร์ที่รวมถึง Chrome เองจะบ่นเกี่ยวกับใบรับรอง SSL โดยใช้ SHA1 ความแรงที่มีประสิทธิภาพอยู่ที่ประมาณ 2 ^ 60-2 ^ 70 การดำเนินการหรือดังนั้นตอนนี้ไม่ดีพอเมื่อพิจารณาเครื่องคำนวณ GPU TFLOPS 20+ ราคาถูกพอ

— MttJocy

aptไม่ทำงานสำหรับฉันตามที่คุณอธิบาย มันบอกว่า7 แพคเกจสามารถอัพเกรดได้ เรียกใช้ 'รายการ apt - อัปเกรดได้' เพื่อดู

— musiKk

32

Debian และ Ubuntu บังคับใช้SHA256หรือรายการที่สูงขึ้นในไฟล์ที่วางจำหน่ายและ / หรือแพคเกจตั้งแต่เดือนมีนาคม ที่เก็บที่ขาดหายไปเหล่านี้จำเป็นต้องได้รับการแก้ไขโดยเจ้าของ

มีภาพรวมของที่เก็บที่ใช้งานไม่ได้ใน Debian wiki

— webwurst
แหล่งที่มา

19

@chaskes บอกว่านี่เป็นปัญหาของที่เก็บข้อมูลที่ไม่ได้มาพร้อมกับคอมพิวเตอร์ของคุณ

@webwurst มีลิงก์ที่ดีสำหรับปัญหาพื้นฐาน นอกจากนี้ยังมีคำชี้แจงเกี่ยวกับลายเซ็น

หากคุณกำลังโฮสต์ที่เก็บซึ่งให้ข้อผิดพลาดเหล่านี้ การแก้ปัญหาคือการเปลี่ยนค่าเริ่มต้นที่จะเป็นcert-digest-algo SHA256โดยค่าเริ่มต้น gnupg เริ่มต้นที่จะใช้SHA1

หลังจากที่คุณแก้ไขปัญหานี้คำเตือนต่อไปจะเป็นไปได้ว่าลายเซ็น "ใช้อัลกอริทึมที่อ่อนแอย่อย (SHA1)" และการแก้ไขปัญหาที่คุณสามารถตั้งค่าdigest-algoที่จะSHA256ได้เป็นอย่างดี

ค่าเหล่านี้จะไปที่เซิร์ฟเวอร์ที่เก็บgpg.confซึ่งใช้ที่เก็บ

มือสั้นคือการผนวก

cert-digest-algo SHA256
digest-algo SHA256

ไปยัง~/.gnupg/gpg.confไฟล์ของคุณ

โครงการของเรามีบัตรโดยสารที่นี่ซึ่งควรมีตัวอย่างของวิธีการแก้ไขสำหรับกลไกการปรับใช้ของเรา

— ทัลลี
แหล่งที่มา

4

เพื่อหลีกเลี่ยงข้อผิดพลาดนี้คุณสามารถลบที่เก็บ

โปรดทราบว่าการลบที่เก็บจะป้องกันไม่ให้ Chrome รับการอัปเดตใด ๆรวมถึงการอัปเดตความปลอดภัยที่สำคัญ!
สิ่งนี้จะทำให้เบราว์เซอร์ของคุณเสี่ยงต่อการคุกคามจำนวนมากขึ้นเมื่อเวลาผ่านไป!

หากคุณต้องการลบหรือปิดการใช้งานพื้นที่เก็บข้อมูลจริงๆคุณควรพิจารณาถอนการติดตั้ง Chrome และย้ายไปยังเบราว์เซอร์อื่นเช่นตัวแปรโอเพนซอร์chromiumซ

_{บันทึกนี้ถูกบันทึกโดยByteCommander}

เมื่อค้นหาครั้งแรกSoftware and Updatesใน Dash เปิดและเปลี่ยนเป็นOther Softwareแท็บ

ในนั้นมองหารายการเช่นนี้:

http://dl.google.com/linux/earth/deb/dists/stable/

และลบออก

ในที่สุดไปที่Authenticationแท็บและคุณจะพบสิ่งที่กล่าวถึง "Google" ลบออกเช่นกัน

ควรหยุดแสดงข้อความแสดงข้อผิดพลาดที่น่ารำคาญทุกครั้งที่คุณพยายามอัปเดตที่เก็บของคุณทันที

— Hayet Mahamud
แหล่งที่มา

12

สิ่งนี้จะหยุดการอัปเดตในอนาคตของ Google Chrome ซึ่งอาจไม่ใช่สิ่งที่ OP ต้องการ

— edwinksl

หมายเหตุ: ตอนนี้โครเมี่ยม ppa ได้รับการแก้ไขแล้ว

— starbeamrainbowlabs