Come risolvere apt: la firma per chiave usa un algoritmo digest debole (SHA1)?

129

Ho iniziato a configurare aggiungendo repository e poi sono tornato a eseguirmi di sudo apt-get updatenuovo prima di iniziare l'installazione di altro software, e ottengo le linee chiave della firma e si interrompe. Quindi essenzialmente non mi permetterà di aggiornare alcun pacchetto ora.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Non l'ho mai visto prima ogni volta che ho installato e iniziato a installare cose su Ubuntu. C'è qualcos'altro che posso fare?

apt

— dlchang
fonte

2

Avere lo stesso identico problema. Immagino che possa essere risolto solo da parte di Google o forse consentire il controllo degli aggiornamenti nei repository con "algoritmi di sicurezza deboli", ma non so come e probabilmente sarebbe un rischio per la sicurezza. Come affermato in questo blog , la mossa è stata da fonte di risorse in Debian instabile e Canonical l'ha inclusa perché:> Xenial (Ubuntu 16.04 LTS) sarà supportato per 5 anni e il panorama potrebbe cambiare molto nei prossimi 5 anni. A proposito, c'è un bug archiviato in Launchpad [qui] ( bugs.launchpad.net/ubuntu

— Erwinstein,

Non solo con Google, ho lo stesso problema con i driver Samsung e Virtualbox ...

— ionreflex

1

Come soluzione temporanea, per quasi tutti gli scopi, puoi provare a installare il browser al cromo per lo più identico. Dal momento che proviene dai repository canonici, non dovrebbe avere questo problema.

— Ari

Dov'è il posto adatto per segnalarlo a Google per risolvere il problema con il loro repository Google Chrome?

— Orschiro,

@arielf Ya, ho finito per farlo mentre aspettavo una correzione da Google, in quanto sembra essere l'unica cosa che può essere fatta dalla mia ricerca nei forum.

— dlchang,

63

Il problema con la fonte di Google è da parte di Google, ma apt-getsta semplicemente segnalando il problema come un avvertimento. Questo problema non ti impedisce di aggiornare i pacchetti.

Stai utilizzando apt-gete quello che vedi è il comportamento normale dopo l'esecuzione update: esegue l'aggiornamento ma non fornisce informazioni aggiuntive.

È necessario seguire sudo apt-get updatecon sudo apt-get upgradeper vedere se tutti gli aggiornamenti dei pacchetti sono disponibili.

Il più recente sudo apt update(si noti che è solo apt) fornisce feedback sui risultati.

Usando apt, vedrai un messaggio che

All packages are up to date

o

The following packages will be upgraded:

Vedere anche apt list --upgradeable.

— Chaskes
fonte

1

Oh, non sapevo del nuovo sudo apt update, grazie ci proverò. E immagino di aver pensato che non funzionasse affatto perché le ultime linee erano le linee Signature e si è fermata dopo, quindi ho pensato che non si stesse aggiornando. Quindi questo è solo un avvertimento per quel problema, ma continua senza interferire con altri aggiornamenti?

— dlchang,

1

@dlchang È corretto. :)

— Chaskes,

Chrome è l'IE del prossimo decennio ... comunque, questo non è vero su "Tutti i pacchetti sono aggiornati" con apt, ottengo gli stessi avvertimenti. Chrome ha avuto così tanti problemi come questo negli ultimi mesi, anche i suoi incredibili utenti di Linux lo usano (devo purtroppo per webdev).

— Todd,

3

@Todd Riceverai comunque gli avvisi poiché il repository di Google è ancora firmato con una chiave SHA1 che è ammortizzata. Il motivo è che SHA1 ha riscontrato collisioni che diminuiscono la sua forza effettiva indebolendo la sua sicurezza in misura inaccettabile. È lo stesso motivo per cui i browser, incluso ironicamente Chrome stesso, si lamentano dei certificati SSL che utilizzano SHA1. La forza effettiva è solo di circa 2 ^ 60-2 ^ 70 operazioni, quindi ora non è abbastanza buona se si considera che una macchina di elaborazione GPU TFLOPS 20+ è abbastanza economica.

— MttJocy,

aptnon funziona per me come mi spieghi. Dice che 7 pacchetti possono essere aggiornati. Esegui 'elenco apt - aggiornabile' per vederli.

— musiKk,

32

Debian e Ubuntu applicano SHA256voci superiori o superiori nei file Release e / o Packages da marzo . I repository mancanti di questi devono essere riparati dai rispettivi proprietari.

C'è una panoramica dei repository danneggiati nel wiki di Debian.

— webwurst
fonte

19

Come dice @chaskes, questo è un problema con il repository non con il tuo computer.

@webwurst ha buoni collegamenti al problema di fondo. C'è anche un chiarimento sulle firme.

Se stai ospitando un repository che sta dando questi errori. La soluzione è quella di modificare il valore predefinito cert-digest-algodi essere SHA256. Per impostazione predefinita, gnupg utilizza per impostazione predefinitaSHA1

Dopo aver risolto questo problema il prossimo avviso sarà che la firma "utilizza l'algoritmo digest debole (SHA1)" E per fissare che è possibile impostare digest-algoa SHA256pure.

Questi valori vanno sul server del repository in gpg.confcui il repository sta usando.

La scorciatoia è da aggiungere

cert-digest-algo SHA256
digest-algo SHA256

al tuo ~/.gnupg/gpg.conffile.

Il nostro progetto ha un ticket qui che dovrebbe avere un esempio di come risolverlo per il nostro meccanismo di implementazione.

— Tully
fonte

4

Per evitare questo errore, è possibile rimuovere il repository.

Tieni presente che la rimozione del repository impedirà a Chrome di ottenere eventuali aggiornamenti , inclusi importanti aggiornamenti di sicurezza!
Ciò renderà il tuo browser vulnerabile a un numero crescente di minacce nel tempo!

Se desideri veramente rimuovere o disabilitare completamente il repository, dovresti considerare di disinstallare Chrome e passare a un browser diverso, come la sua variante open-source chromium.

_{Questa nota è stata aggiunta da ByteCommander .}

All'inizio cerca Software and Updatesnel Dash. Aprilo e passa alla Other Softwarescheda.

Cerca una voce come questa:

http://dl.google.com/linux/earth/deb/dists/stable/

e rimuoverlo.

Infine vai alla Authenticationscheda e troverai qualcosa che menziona "Google", rimuovilo anche tu.

Dovrebbe smettere di mostrare quel fastidioso messaggio di errore ogni volta che provi ad aggiornare i tuoi repository ora.

— Hayet Mahamud
fonte

12

Ciò fermerebbe anche i futuri aggiornamenti di Google Chrome, che probabilmente non è quello che l'OP vuole.

— edwinksl,

Nota: il chrome ppa è stato risolto.

— Starbeamrainbowlabs