Como corrigir o apt: A assinatura por chave usa o algoritmo de resumo fraco (SHA1)?

129

Comecei a configurar adicionando repositórios e depois fui executar sudo apt-get updatenovamente antes de começar a instalar outro software, e recebo as linhas de chave Signature e ele para. Portanto, basicamente não me permite atualizar nenhum pacote agora.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Eu nunca vi isso antes sempre que configuro e começo a instalar coisas no Ubuntu. Há algo mais que eu possa fazer?

apt dlchang
fonte
2
Tendo exatamente o mesmo problema. Eu acho que ele só pode ser corrigido do lado do Google ou talvez permita verificar atualizações em repositórios com "algoritmos de segurança fracos", mas eu não sei como e provavelmente seria um risco à segurança. Conforme declarado neste blog , a mudança foi de fonte externa no Debian instável e a Canonical a incluiu porque:> O Xenial (Ubuntu 16.04 LTS) será suportado por 5 anos, e o cenário poderá mudar bastante nos próximos 5 anos. A propósito, há um bug arquivado no Launchpad [aqui] ( bugs.launchpad.net/ubuntu
Erwinstein
Não só com o Google, eu tenho o mesmo problema com motoristas Samsung e Virtualbox ...
ionreflex
11
Como solução temporária, para quase todos os efeitos, você pode tentar instalar o navegador de cromo quase idêntico. Como se trata de acordos de recompra da Canonical, não deve ter esse problema.
Arielf
Onde é o local apropriado para informar isso ao Google para corrigir o problema com o repositório do Google Chrome?
orschiro
@arielf Ya, acabei fazendo isso enquanto esperava uma correção do Google, pois parece ser a única coisa que pode ser feita na minha pesquisa nos fóruns.
dlchang

Respostas:

63

O problema com a fonte do Google está no fim do Google, mas apt-getestá apenas relatando o problema como um aviso. Esse problema não impede a atualização de pacotes.

Você está usando apt-gete o que está vendo é o comportamento normal após a execução update: ele executa a atualização, mas não fornece informações adicionais.

Você precisa seguir sudo apt-get updatecom sudo apt-get upgradepara ver se quaisquer atualizações de pacotes estão disponíveis.

O mais recente sudo apt update(observe que é apenas apt) fornece feedback sobre os resultados.

Ao usar apt, você verá uma mensagem que

All packages are up to date

ou

The following packages will be upgraded:

Veja também apt list --upgradeable.

perseguições
fonte
11
Ah, eu não sabia sobre o mais novo sudo apt update, obrigado, vou tentar isso. E acho que pensei que não funcionou, porque as últimas linhas eram as linhas Signature e simplesmente parou depois disso, então eu assumi que não estava atualizando. Portanto, isso é apenas um aviso para esse problema, mas continua sem interferir em outras atualizações?
dlchang
11
@dlchang Isso está correto. :)
chaskes
O Chrome é o IE da próxima década ... de qualquer forma, isso não é verdade sobre "Todos os pacotes estão atualizados" apt, recebo exatamente os mesmos avisos. O Chrome teve muitos problemas como esse nos últimos meses, seus incríveis usuários de linux até o usam (eu tenho que usar o webdev, infelizmente).
Todd
3
Você ainda receberá os avisos, pois o repositório do Google ainda está assinado com uma chave SHA1, que está depreciada. A razão para isso é que o SHA1 tem colisões que diminuem sua força efetiva, enfraquecendo sua segurança em um grau inaceitável. É a mesma razão pela qual navegadores, incluindo o próprio ironicamente chrome, reclamarão dos certificados SSL usando SHA1. A força efetiva é de apenas cerca de 2 ^ 60-2 ^ 70 operações ou, portanto, agora não é boa o suficiente quando se considera uma máquina de computação com mais de 20 GPU TFLOPS e é barata o suficiente.
MttJocy #
aptnão funciona para mim como você explica. Ele diz que 7 pacotes podem ser atualizados. Execute 'apt list --upgradable' para vê-los.
MusiKk
32

O Debian e o Ubuntu impõem SHA256entradas superiores ou superiores nos arquivos Release e / ou Packages desde março . Os repositórios ausentes desses precisam ser corrigidos por seus proprietários.

Há uma visão geral dos repositórios quebrados no wiki do Debian.

Webwurst
fonte
19

Como o @chaskes diz que este é um problema do repositório e não do seu computador.

O @webwurst possui bons links para o problema subjacente. Há também um esclarecimento sobre as assinaturas.

Se você está hospedando um repositório que está dando esses erros. A solução é alterar o padrão cert-digest-algopara ser SHA256. Por padrão, o gnupg usa como padrão o uso deSHA1

Depois de corrigir esse problema o próximo aviso será que a assinatura "usa fraco algoritmo de digerir (SHA1)" e fixar que você pode definir digest-algopara SHA256bem.

Esses valores vão no servidor de repositório no gpg.confqual o repositório está usando.

A mão curta é anexar

cert-digest-algo SHA256
digest-algo SHA256

para o seu ~/.gnupg/gpg.confarquivo.

Nosso projeto tem o bilhete aqui, que deve ter um exemplo de como corrigi-lo para o nosso mecanismo de implantação.

Tully
fonte
4

Para evitar esse erro, você pode remover o repositório.

Observe que a remoção do repositório impedirá que o Chrome obtenha atualizações , incluindo importantes atualizações de segurança!
Isso tornará seu navegador vulnerável a um número crescente de ameaças ao longo do tempo!

Se você realmente deseja remover ou desativar completamente o repositório, considere desinstalar o Chrome e migrar para um navegador diferente, como sua variante de código aberto chromium.

Esta nota foi adicionada pelo ByteCommander .

Na primeira pesquisa Software and Updatesno Dash. Abra-o e mude para a Other Softwareguia.

Lá, procure uma entrada como esta:

http://dl.google.com/linux/earth/deb/dists/stable/

insira a descrição da imagem aqui

e remova-o.

Por fim, vá para a Authenticationguia e você encontrará algo mencionando "Google", remova-o também.

Ele deve parar de mostrar essa mensagem de erro irritante toda vez que você tenta atualizar seus repositórios agora.

Hayet Mahamud
fonte
12
Isso também impediria futuras atualizações no Google Chrome, o que provavelmente não é o que o OP deseja.
edwinksl
Nota: O chrome ppa foi corrigido.
Starbeamrainbowlabs