Le seguenti firme non erano valide: EXPKEYSIG 1397BC53640DB551


90

Questo è il problema 952287: [Feedback dell'utente - Stabile] Rapporti di Chrome per Linux che non sono stati installati / aggiornati a causa della chiave di firma GPG scaduta


Oggi, l'esecuzione aptsu tutte le mie macchine genera questo errore con Google PPA (per google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Ho già provato a importare di nuovo la chiave GPG con:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Fonte: repository software di Google Linux

EDIT: aggiungi la riga di errore in spagnolo per una migliore visibilità:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: e francese (per coprire le prime 3 lingue ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
È successo anche a me.
Fred,

8
vota questo link support.google.com/chrome/thread/4032170?hl=it e attendi! Non possiamo fare altro.
Carlos Alberto Silveira de E il

1
Ho aggiunto un link alla segnalazione di bug nella parte superiore del post. Non esitate a spostarlo o eliminarlo.
DK Bose,

4
Penso che sia stato risolto ora
Leo

1
Questo è successo a me oggi, 8 giorni dopo e sta ancora accadendo.
Gregory Smitherman,

Risposte:


64

Questa è la protezione che stai ricevendo da questi controlli. Non vuoi aggiornare il tuo software in questo momento mentre qualcosa è incasinato da Google. Aspetta che lo risolvano. Non provare a sovrascrivere reinstallando le chiavi fino a quando non viene fuori qualche parola ufficiale che una nuova chiave è la soluzione.


9
Attendere fino a quando non risolveranno potrebbe non essere un'opzione per tutti. Ad esempio, questo sta rompendo le condutture CI per noi. Se ora stai facendo ciò, potresti correre il rischio e disabilitare i controlli per questo repository per ora aggiungendo [trusted=yes]alla sua configurazione:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan,

4
Non è la prima volta che succede. Ricordo di aver avuto lo stesso problema con Google almeno altre 2 volte negli ultimi anni. Mi chiedo cosa stia succedendo a Google e perché non riescano a tenere insieme le loro cose.
Michael Härtl,

4
@jelhan Ecco perché le pipeline CI attingono idealmente ai mirror / cache locali anziché andare direttamente a monte.
Konrad Rudolph,

2
@ MichaelHärtl Ho visto Google e la meritocrazia sembra essere fuori moda.
DK Bose,

6
trusted=yessconfigge l'intero scopo della firma digitale e compromette sostanzialmente l'intero sistema. Non dovresti farlo alla leggera, soprattutto non è una buona idea per una "soluzione temporanea".
kissgyorgy,


15

il problema è stato risolto da Google Abr 12/2019 (solo Google Chrome. Testato in Ubuntu 18.04.x)

inserisci qui la descrizione dell'immagine Non c'è niente da fare. Il repository è già stato firmato

Aggiornamento 19 aprile 2019:

inserisci qui la descrizione dell'immagine

Il team di Google ha confermato che sono state apportate ulteriori correzioni per altri prodotti Google non Chrome

fonte: https://support.google.com/chrome/thread/4032170


1
Dove l'hai segnalato? Google non ha ancora risolto il problema su alcuni altri repository, ad esempio Music Manager, quindi vorrei segnalarlo.
Paddy Landau,

9

Sembra che le chiavi di firma di Google siano scadute. Sii paziente e attendi che li riparino (che può richiedere o meno di aggiungere nuovamente la chiave dopo averla riparata).


1

Per chiunque non sia abbastanza paziente affinché Google aggiorni il certificato ...

puoi risolverlo con i seguenti passaggi:

  1. Scarica questo: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(nuova versione di Chrome, puoi ottenerlo tu stesso cercando su Google Chrome)

  1. Chiudi Chrome.
  2. Apri "Software e fonti", vai alla scheda "Fonti"
  3. Rimuovere (o disabilitare se si desidera riattivarlo in un secondo momento) la fonte di Google (digitare la password) e chiudere la finestra
  4. Consenti a "Software e fonti" di ricaricare le fonti
  5. Vai in Software Center, vai su "Installato"
  6. Trova Chrome, disinstallalo.
  7. Chiudi software e fonti
  8. Apri un terminale, digita:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Chiudi il terminale e vai alla cartella dei download e fai doppio clic sul file "google-chrome-stable_current_amd64.deb" (questo aprirà Software Center)

  10. Fai clic su Installa

ora puoi aprire il backup di Chrome. tutte le schede e le password salvate ect sono ancora lì.


@CarlosAlbertoSilveirade E ha detto "Fantastico !!, lavora per me! Grazie" ma come modifica al mio post perché non sa ancora come usare questo sito .... Lo sto aggiungendo così la gente sa che ha funzionato per qualcuno.
Tatsu,

1

15 aprile e sto ancora riscontrando questo errore con i repository di Google Earth e Music Manager. Stanno sicuramente prendendo il loro dolce tempo con questo.


0

Non Devi attendere che Google rinnovi le loro chiavi e un aggiornamento.

Il messaggio importante è:

Le seguenti firme non erano valide: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Autorità di firma dei pacchetti Linux)

Significa che la firma crittografica non è valida. La fonte di ciò può essere un attacco, una configurazione errata o un altro tipo di problema tecnico. Forzare l'aggiornamento del sistema comporterà l'esecuzione di una versione non verificata del browser Web, che può esporre a molti problemi di sicurezza.

fonte


0

Google deve aggiornare lì la chiave GPG. Puoi tuttavia contrassegnare l'origine deb come attendibile, fino a quando Google non rinnova la chiave:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. aggiungi il trusted=yestuo /etc/apt/sources.list.d/google-chrome.list file, in modo che appaia così:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Ricevi ancora un errore GPG non valido, ma per ora puoi ignorarlo.

NOTA : fare attenzione poiché ciò può causare problemi di sicurezza, su reti non attendibili, quando non viene utilizzato https nel collegamento dell'origine deb.

EDIT: l' avviso GPG non viene più visualizzato. Google ha rinnovato la loro chiave. Se hai seguito la soluzione sopra, basta rimuovere la trusted=yesparte, quindi apt cleane infine apt update. Non dovresti più vedere alcun errore: D


2
Non farlo Se non altro per motivi diversi dalla sorgente non crittografata. Se lo facessi, ti dimenticassi di tutto e poi andassi su una rete difettosa, potrebbe facilmente intercettare e sovvertire la Release, pacchetti.list, e quindi essenzialmente eseguire tutto ciò che gli piaceva come root sul tuo computer. Non è una buona idea.
Oli

2
Hai perso il mio punto. Se qualcuno può intercettare il tuo traffico di rete, può fingere di essere Google. Non c'è TLS su una connessione http: //. Normalmente Apt ha le spalle qui perché controllano che tutti gli elenchi di versioni e pacchetti siano firmati. Se lo intercettassi normalmente, e avessi cambiato qualcosa di malizioso, vedresti un errore di firma. Stai bypassando l'intero meccanismo qui.
Oli

1
Infatti. Grazie per la spiegazione
Dimitris Moraitidis,

2
D'accordo, ma puoi temporaneamente renderlo https con trusted = yes (per ora, supponendo che tu non sia TLS MiTM). Ad esempio:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy,

1
Anche davvero. Quindi suppongo che la mia recente modifica, dovrei almeno tornare a 0 invece di -2: P
Dimitris Moraitidis

0

Sembra che, come ha detto @DooMMasteR, Google abbia lasciato scadere la firma del certificato per i propri repository Linux , la cui data di scadenza era il 12 aprile . @yareckon ha spiegato che questo apterrore di sicurezza funziona come previsto per impedire l'installazione di software mal firmato.

9 ore dopo la pubblicazione del problema, Google ha corretto i certificati in modo trasparente per gli utenti che utilizzano il repository Google Chrome . L'errore si è interrotto dopo che hanno rinnovato i certificati, progressivamente anche sul resto dei repository di proprietà di Google (Google Earth, Google Music Manager ...).

Non è necessaria (e consigliata) alcuna azione da parte degli utenti, in attesa che i repository in uso vengano firmati con chiavi rinnovate.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.