Наступні підписи були недійсними: EXPKEYSIG 1397BC53640DB551


90

Це випуск 952287: [Відгук користувачів - стабільний] Звіти Chrome для Linux не вдалося встановити / оновити через закінчений термін дії підпису GPG


Сьогодні, працюючи aptна всіх моїх машинах, ця помилка дає Google PPA (for google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Уже спробували знову імпортувати ключ GPG за допомогою:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Джерело: Програмні сховища Google Linux

EDIT: додайте рядок помилок іспанською мовою для кращої видимості:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: та французька (охоплює топ-3 мови ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
Так само трапилось і зі мною.
Фред

8
скористайтеся цим посиланням support.google.com/chrome/thread/4032170?hl=uk та зачекайте! Ми більше нічого не можемо зробити.
Карлос Альберто Сільвейра де та

1
Я додав посилання на звіт про помилку вгорі публікації. Будь ласка, не соромтеся перемістити або видалити.
ДК Бозе

4
Я думаю, це виправлено зараз
Лев

1
Це сталося зі мною сьогодні, через 8 днів, і все ще відбувається.
Григорій Смітхерман

Відповіді:


64

Це захист, який ви отримуєте від цих чеків. Ви не хочете оновлювати своє програмне забезпечення зараз, коли щось зіпсовано з кінця Google. Зачекайте, поки вони це виправлять. Не намагайтеся переосмислити, перевстановлюючи ключі, поки не з’явиться офіційне слово, що новий ключ - це рішення.


9
Чекати, поки вони виправлять це, можливо, не для всіх. Наприклад, це зламає трубопроводи CI для нас. Якщо ви зараз цим займаєтесь, ви можете взяти на себе ризик та відключити перевірки цього репо, додавши [trusted=yes]до його конфігурації:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan

4
Це вже не перший раз. Я пам’ятаю, що ця проблема з Google була принаймні ще 2 рази за останні роки. Цікаво, що відбувається в Google і чому вони не можуть тримати свої речі разом.
Michael Härtl

4
@jelhan Ось чому трубопроводи CI в ідеалі використовуються в локальних дзеркалах / кешах, а не прямують прямо вгору.
Конрад Рудольф

2
@ MichaelHärtl Я спостерігав за Google, і меритократія, здається, не вийшла з моди.
ДК Босе

6
trusted=yesперемагає цілі цифрового підпису і в основному компрометує всю вашу систему. Не варто цього робити легковажно, особливо не гарна ідея для "тимчасового вирішення".
kissgyorgy

33

Мабуть, Google не продовжив термін дії сертифікату підписання ... це повинно було закінчитися сьогодні, і це зробило. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

можливо, Google змінить це сьогодні чи так ... тоді оновлення cert має спрацювати нормально, і все повинно повернутися до нормального.


15

проблему вирішено Google Abr 12/2019 (Тільки Google Chrome. Тестовано в Ubuntu 18.04.x)

введіть тут опис зображення Нічого робити. Репозиторій вже підписаний

Оновити квітня 19/2019:

введіть тут опис зображення

Команда Google підтвердила, що додаткові виправлення вийшли для інших продуктів Google, які не належать до Chrome

джерело: https://support.google.com/chrome/thread/4032170


1
Де ви повідомили про це? Google досі не виправив це в деяких інших сховищах, наприклад, у Менеджері музичних файлів, тому я також хотів би повідомити про це.
Падді Ландау

9

Схоже, термін дії ключів підпису Google минув Будьте терплячі та зачекайте, коли вони виправлять (що може потребувати повторного додавання ключа після його виправлення).


1

Для тих, хто недостатньо терплячий, щоб Google оновив cert ...

ви можете виправити це за допомогою наступних кроків:

  1. Завантажте це: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(нова версія chrome, ви можете отримати її самостійно, гугл chrome)

  1. Закрийте Chrome.
  2. Відкрийте "Програмне забезпечення та джерела", перейдіть на вкладку "Джерела"
  3. Видаліть (або відключіть, якщо ви хочете пізніше його знову ввімкнути) джерелом Google (введіть свій пароль) і закрийте вікно
  4. Дозволити "Програмне забезпечення та джерела" перезавантажувати джерела
  5. Увійдіть в Центр програмного забезпечення, перейдіть до "Встановлено"
  6. Знайдіть Chrome, видаліть його.
  7. Закрийте програмне забезпечення та джерела
  8. Відкрити термінал, наберіть:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Закрийте термінал і перейдіть у папку для завантаження та двічі клацніть файл "google-chrome-stable_current_amd64.deb" (це відкриє Центр програмного забезпечення)

  10. Клацніть Встановити

тепер ви можете відкрити хром. усі ваші вкладки та збережені паролі зберігаються.


@CarlosAlbertoSilveiradeAnd сказав: "Чудово !!, працюй для мене! Дякую", але як редагування моєї публікації, оскільки він ще не знає, як користуватися цим сайтом .... Я додаю його, щоб люди знали, що він працював для когось.
тацу

1

15 квітня, і я все ще отримую цю помилку зі сховищами Google Earth and Music Manager. Вони впевнені, що приємно проводять цей час.


0

Ви цього не робите. Потрібно чекати, коли Google відновить їхні ключі та оновлення.

Важливе повідомлення:

Наступні підписи були недійсними: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (орган, що підписує пакети Linux)

Це означає, що криптографічний підпис недійсний. Джерелом цього може бути атака, неправильна конфігурація чи інший вид технічної проблеми. Примушування вашої системи до оновлення призведе до запуску неперевіреної версії веб-браузера, що може піддавати вас безлічі проблем із безпекою.

джерело


0

Google повинен оновити там ключ GPG. Однак ви можете позначити джерело боргу як надійне, поки Google не поновить їх ключ:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. додайте trusted=yesу свій /etc/apt/sources.list.d/google-chrome.list файл, щоб він виглядав так:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Ви все ще отримуєте недійсну помилку GPG, але зараз можете її проігнорувати.

ПРИМІТКА . Будьте обережні, оскільки це може спричинити проблеми безпеки в ненадійних мережах, коли в посиланні дебюту джерела не використовується жоден https.

EDIT: Попередження GPG більше не з’являється. Google поновив їх ключ. Якщо ви дотримувались рішення, описаного вище, просто видаліть trusted=yesдеталь, потім apt clean& нарешті apt update. Ви більше не повинні бачити жодної помилки: D


2
Не робіть цього. Якщо з будь-якої іншої причини, крім джерела незашифрованого. Якщо ви це зробили, забули про це, а потім відхилилися від поганої мережі, він міг легко перехопити та підривати Release, package.list, а отже, запускати на вашому комп’ютері все, що йому сподобалось. Це не дуже гарна ідея.
Олі

2
Ви пропустили мою думку. Якщо хтось може перехопити ваш мережевий трафік, він може прикинутися Google. У HTL-з'єднанні немає TLS. Зазвичай Apt має вашу спинку тут, тому що вони перевіряють, що всі релізи та списки пакунків підписані. Якщо ви перехопили це нормально - і зловмисно щось змінили - ви побачите помилку підпису. Ви обійшли весь цей механізм тут.
Олі

1
Справді. Дякую за пояснення
Дімітріс Moraitidis

2
Погоджено, але ви можете тимчасово просто зробити його https з довіреним = так (поки що, припускаючи, що ви не TLS MiTM). Наприклад:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
Також справді. Тож я здогадуюсь, що я нещодавно змінив, я повинен хоча б повернутися до 0 замість -2: P
Димитріс Мораїтідіс

0

Схоже, як сказав @DooMMasteR, Google дозволив закінчити термін підписання сертифікатів для своїх сховищ Linux , термін дії яких був 12 квітня . @yareckon пояснив, що ця aptпомилка безпеки працює так, як очікувалося, щоб запобігти встановленню погано підписаного програмного забезпечення.

Через 9 годин після публікації випуску Google прозоро фіксував сертифікати для користувачів, які використовують репо Google Chrome . Помилка припинилася після того, як вони поновили сертифікати, поступово також і на інших репортах, що належать Google (Google Earth, Менеджер Google Music ...).

Жодних дій не потрібно (і рекомендується) з боку користувачів, лише чекаючи підписання репост у використанні оновленими ключами.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.