Вопрос Как исправить apt: Подпись по ключу использует слабый алгоритм дайджеста (SHA1)?


Я начал настраивать, добавляя репозитории, а затем пошел запускать sudo apt-get update еще до того, как я начал устанавливать другое программное обеспечение, и получаю строки подписи подписи, и он останавливается. Поэтому он по сути не позволит мне обновлять пакеты сейчас.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Я никогда не видел этого раньше, когда настраиваю и начинаю устанавливать вещи в Ubuntu. Есть ли что-то еще, что я могу сделать?


123
2018-04-22 19:43


происхождения


Имея ту же самую проблему. Я предполагаю, что это может быть исправлено только на стороне Google или, возможно, разрешить проверку обновлений в хранилищах с «слабыми алгоритмами безопасности», но я не знаю, как и, вероятно, будет представлять угрозу безопасности. Как указано в этот блог, переход был от источника в Debian неустойчивым, а Canonical включил его, потому что:> Xenial (Ubuntu 16.04 LTS) будет поддерживаться в течение 5 лет, и пейзаж может сильно измениться в ближайшие 5 лет. Кстати, есть ошибка, зарегистрированная в Launchpad [здесь] (bugs.launchpad.net/ubuntu - CodeHarmonics
Не только с Google, у меня такая же проблема с драйверами Samsung и Virtualbox ... - ionreflex
В качестве временного решения, практически для всех целей и задач, вы можете попробовать установить в основном идентичный хром-браузер. Поскольку он исходит от Canonical repos, у него не должно быть этой проблемы. - arielf
Где подходящее место, чтобы сообщить об этом Google, чтобы исправить проблему в своем хранилище Google Chrome? - orschiro
@arielf Ya, я закончил это, ожидая исправления от Google, поскольку это, похоже, единственное, что можно сделать из моего поиска на форумах. - dlchang


ответы:


Проблема с источником Google находится в конце Google, но apt-get просто сообщает об этом в качестве предупреждения. Эта проблема не мешает вам обновлять пакеты.

Ты используешь apt-get и то, что вы видите, - это нормальное поведение после запуска update: он выполняет обновление, но не предоставляет дополнительную информацию.

Вы должны следовать sudo apt-get update с sudo apt-get upgrade чтобы узнать, доступны ли какие-либо обновления пакетов.

Новее sudo apt update (обратите внимание, что это просто apt) дает отзывы о результатах.

Используя apt, вы увидите сообщение, которое

All packages are up to date

или

The following packages will be upgraded:

Также см apt list --upgradeable,


63
2018-04-25 03:55



О, я не знал о новых sudo apt update, спасибо, я попробую. И я думаю, я просто подумал, что это не работает вообще, потому что последние строки были линиями Подписи, и это просто остановилось после этого, поэтому я решил, что это не обновление. Так что это просто предупреждение для этой проблемы, но продолжается, не мешая другим обновлениям? - dlchang
@dlchang Это правильно. :) - chaskes
Chrome - это IE следующего десятилетия ... во всяком случае, это неверно, что «все пакеты обновлены» с apt, Я получаю то же самое предупреждение. За последние несколько месяцев у Chrome было так много таких проблем, его удивительные пользователи Linux даже использовали его (к сожалению, я должен использовать webdev). - Todd
@Todd Вы все равно получите предупреждения, так как репозиторий google по-прежнему подписан с ключом SHA1, который обесценивается. Причина этого заключается в том, что у SHA1 обнаружены столкновения, которые уменьшают ее эффективную силу, ослабляя ее безопасность до неприемлемой степени. Это та же самая причина, по которой браузеры, включая иронически хром, будут жаловаться на сертификаты SSL, используя SHA1. Эффективная сила составляет всего около 2 ^ 60-2 ^ 70 операций или так теперь недостаточно хороша, если считать, что 20-битная вычислительная машина TFLOPS достаточно дешевая. - MttJocy
apt не работает для меня, как вы объясните. В нем говорится: 7 пакетов могут быть обновлены. Запустите 'apt list --upgradable', чтобы увидеть их. - musiKk


Debian и Ubuntu обеспечивают соблюдение SHA256 или более высокие записи в файлах выпуска и / или пакетов с марта, Хранилища, отсутствующие в них, должны быть исправлены их владельцами.

Есть обзор сломанных репозиториев в вики Debian.


32
2018-05-02 22:08





Поскольку @chaskes говорит, что это проблема с репозиторией, а не с вашим компьютером.

@webwurst имеет хорошие связи с основной проблемой. Существует также осветление о подписях.

Если вы размещаете репозиторий, который дает эти ошибки. Решение состоит в изменении значения по умолчанию cert-digest-algo быть SHA256, По умолчанию gnupg по умолчанию использует SHA1

После устранения этой проблемы следующее предупреждение будет заключаться в том, что подпись «использует слабый алгоритм дайджеста (SHA1)». И исправить это, что вы можете установить digest-algo в SHA256 также.

Эти значения переходят на сервер репозитория в gpg.conf которые использует репозиторий.

Короче говоря, нужно добавить

cert-digest-algo SHA256
digest-algo SHA256

на ваш ~/.gnupg/gpg.conf файл.

Наш проект имеет билет Вот который должен иметь пример того, как исправить это для нашего механизма развертывания.


17
2018-05-23 22:33





Чтобы избежать этой ошибки, вы можете удалить репозиторий.

Обратите внимание, что удаление репозитория будет запретить Chrome получать какие-либо обновления, включая важные обновления для системы безопасности!
  Это будет сделать ваш браузер уязвимым к увеличению числа угроз с течением времени!

Если вы действительно хотите полностью удалить или отключить репозиторий, вам следует рассмотреть возможность удаления Chrome и перехода к другому браузеру, например, его вариант с открытым исходным кодом chromium,

Эта записка была добавлена ByteCommander,

Сначала поиск Программное обеспечение и обновления в тире. Откройте его и переключитесь на Другое программное обеспечение Вкладка.

Там ищут запись, подобную этой:

http://dl.google.com/linux/earth/deb/dists/stable/

enter image description here

и удалите его.

Наконец, перейдите к Аутентификация и вы найдете что-то, упоминающее «Google», также удалите это.

Он должен прекратить показывать это раздражающее сообщение об ошибке при каждом обновлении ваших репозиториев.


4
2018-06-14 08:50



Это также остановит будущие обновления Google Chrome, что, вероятно, не соответствует требованиям OP. - edwinksl
Примечание. Хром ppa теперь исправлен. - starbeamrainbowlabs