¿Cómo arreglar apt: Signature by key utiliza un algoritmo de resumen débil (SHA1)?

129

Comencé a configurar agregando repositorios y luego sudo apt-get updatevolví a ejecutar uno antes de comenzar a instalar otro software, y recibo las líneas clave de Firma y se detiene. Entonces, esencialmente no me deja actualizar ningún paquete ahora.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Nunca he visto esto antes cada vez que configuro y empiezo a instalar cosas en Ubuntu. ¿Hay algo más que pueda hacer?

apt

— dlchang
fuente

2

Tener exactamente el mismo problema. Supongo que solo se puede arreglar por parte de Google o tal vez permitir la búsqueda de actualizaciones en repositorios con "algoritmos de seguridad débiles", pero no sé cómo y probablemente sea un riesgo de seguridad. Como se indicó en este blog , el movimiento fue de fuente inestable en Debian inestable y Canonical lo incluyó porque:> Xenial (Ubuntu 16.04 LTS) será compatible durante 5 años, y el panorama puede cambiar mucho en los próximos 5 años. Por cierto, hay un error archivado en Launchpad [aquí] ( bugs.launchpad.net/ubuntu

— Erwinstein

No solo con Google, tengo el mismo problema con los controladores de Samsung y Virtualbox ...

— ionreflex

1

Como solución temporal, para casi todas las intenciones y propósitos, puede intentar instalar el navegador de cromo en su mayoría idéntico. Como proviene de los repositorios canónicos, no debería tener este problema.

— arielf

¿Dónde está el lugar apropiado para informar esto a Google para solucionar el problema con su repositorio de Google Chrome?

— orschiro

@arielf Ya, terminé haciendo eso mientras esperaba una solución de Google, ya que parece ser lo único que se puede hacer desde mi búsqueda en los foros.

— dlchang

63

El problema con la fuente de Google está en el extremo de Google, pero apt-getsolo informa el problema como una advertencia. Este problema no le impide actualizar paquetes.

Está utilizando apt-gety lo que está viendo es el comportamiento normal después de la ejecución update: realiza la actualización pero no proporciona información adicional.

Es necesario seguir sudo apt-get updatecon sudo apt-get upgradepara ver si hay actualizaciones de los paquetes están disponibles.

El más nuevo sudo apt update(nota es justo apt) proporciona comentarios sobre los resultados.

Al usar apt, verá un mensaje que

All packages are up to date

o

The following packages will be upgraded:

También vea apt list --upgradeable.

— chaskes
fuente

1

Oh, no sabía lo nuevo sudo apt update, gracias, lo intentaré. Y supongo que pensé que no funcionaba en absoluto porque las últimas líneas eran las líneas Signature y simplemente se detuvo después de eso, así que supuse que no se estaba actualizando. Entonces, ¿eso es solo una advertencia para ese problema, pero continúa sin interferir con otras actualizaciones?

— dlchang

1

@dlchang Eso es correcto. :)

— chaskes

Chrome es el IE de la próxima década ... de todos modos, esto no es cierto sobre "Todos los paquetes están actualizados" apt, recibo exactamente las mismas advertencias. Chrome ha tenido tantos problemas como este en los últimos meses, incluso sus asombrosos usuarios de Linux lo usan (tengo que hacerlo para webdev, desafortunadamente).

— Todd

3

@Todd Seguirá recibiendo las advertencias ya que el repositorio de Google todavía está firmado con una clave SHA1 que se deprecia. La razón de esto es porque se ha encontrado que SHA1 tiene colisiones que disminuyen su fuerza efectiva, debilitando su seguridad en un grado inaceptable. Es la misma razón por la cual los navegadores que incluyen irónicamente Chrome también se quejarán de los certificados SSL que usan SHA1. La fuerza efectiva es solo alrededor de 2 ^ 60-2 ^ 70 operaciones aproximadamente ahora que no es lo suficientemente buena cuando se considera que una máquina de cómputo GPU TFLOPS de 20+ es lo suficientemente barata.

— MttJocy

aptno me funciona como me explicas. Dice que se pueden actualizar 7 paquetes. Ejecute 'apt list --upgradable' para verlos.

— musiKk

32

Debian y Ubuntu aplican SHA256entradas superiores en los archivos Release y / o Packages desde marzo . Los repositorios que faltan estos deben ser reparados por sus propietarios.

Hay una descripción general de los repositorios rotos en la wiki de Debian.

— webwurst
fuente

19

Como dice @chaskes, este es un problema con el repositorio, no con su computadora.

@webwurst tiene buenos enlaces con el problema subyacente. También hay una aclaración sobre las firmas.

Si está alojando un repositorio que está dando estos errores. La solución es cambiar el valor predeterminado cert-digest-algoa ser SHA256. Por defecto, gnupg usa de manera predeterminadaSHA1

Después de corregir este problema la siguiente advertencia será que la firma "utiliza débil algoritmo de digerir (SHA1)" Y para arreglar que se puede establecer digest-algoa SHA256también.

Estos valores van en el servidor del repositorio en el gpg.confque está utilizando el repositorio.

La mano corta es agregar

cert-digest-algo SHA256
digest-algo SHA256

a su ~/.gnupg/gpg.confarchivo

Nuestro proyecto tiene un ticket aquí que debería tener un ejemplo de cómo solucionarlo para nuestro mecanismo de implementación.

— Tully
fuente

4

Para evitar este error, puede eliminar el repositorio.

Tenga en cuenta que eliminar el repositorio evitará que Chrome reciba actualizaciones , incluidas importantes actualizaciones de seguridad.
¡Esto hará que su navegador sea vulnerable a un número creciente de amenazas con el tiempo!

Si realmente desea eliminar o deshabilitar por completo el repositorio, debería considerar desinstalar Chrome y pasar a un navegador diferente, como su variante de código abierto chromium.

_{Esta nota fue agregada por ByteCommander .}

En la primera búsqueda Software and Updatesen el tablero. Ábrelo y cambia a la Other Softwarepestaña.

Allí busca una entrada como esta:

http://dl.google.com/linux/earth/deb/dists/stable/

y eliminarlo

Finalmente, vaya a la Authenticationpestaña y encontrará algo que menciona "Google", elimínelo también.

Debería dejar de mostrar ese molesto mensaje de error cada vez que intente actualizar sus repositorios ahora.

— Hayet Mahamud
fuente

12

Esto también detendría futuras actualizaciones de Google Chrome, que probablemente no sea lo que quiere el OP.

— edwinksl

Nota: El ppa de Chrome ahora se ha solucionado.

— starbeamrainbowlabs