Як виправити apt: Підпис за ключем використовує слабкий алгоритм дайджесту (SHA1)?

129

Я почав налаштування, додавши сховища, а потім знову запустився до того, sudo apt-get updateяк почав інсталювати інше програмне забезпечення, і я отримаю ключові рядки підпису, і він зупиняється. Отже, це по суті не дозволить мені оновлювати будь-які пакунки зараз.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Я ніколи не бачив цього раніше, коли я встановлював і починав встановлювати речі в Ubuntu. Чи можна ще щось зробити?

apt

— длчанг
джерело

2

Маючи точно таку ж проблему. Я думаю, що це може бути виправлено лише на стороні Google або, можливо, дозволити перевірити наявність оновлень у сховищах із "слабкими алгоритмами безпеки", але я не знаю, як і, ймовірно, це може бути ризиком для безпеки. Як зазначається в цьому блозі , цей крок відбувся від надходження в Debian нестабільно, а Canonical включив його, оскільки:> Xenial (Ubuntu 16.04 LTS) буде підтримуватися протягом 5 років, і пейзаж може сильно змінитися протягом наступних 5 років. До речі, в Launchpad подано помилку [тут] ( bugs.launchpad.net/ubuntu

— Ервінштайн

Не тільки в Google, у мене однакова проблема з драйверами Samsung та Virtualbox ...

— ionreflex

1

Як тимчасове вирішення, майже для всіх намірів і цілей ви можете спробувати встановити переважно однаковий браузер Chrome. Оскільки воно походить від канонічних репостів, це питання не повинно бути

— аріельф

Де відповідне місце повідомити про це в Google, щоб виправити проблему зі своїм сховищем Google Chrome?

— orschiro

@arielf Ya, я закінчив це, чекаючи виправлення від Google, оскільки, здається, це єдине, що можна зробити з мого пошуку по форумах.

— dlchang

63

Проблема з джерелом Google закінчується Google, але apt-getвона лише повідомляє про проблему як попередження. Ця проблема не заважає вам оновлювати пакети.

Ви використовуєте apt-getі те, що ви бачите, це нормальна поведінка після запуску update: воно виконує оновлення, але не надає додаткової інформації.

Ви повинні слідувати sudo apt-get updateз , sudo apt-get upgradeщоб побачити , якщо якесь - або оновлення пакета доступні.

Новіше sudo apt update(зауважте, що це просто apt) дає відгуки про результати.

Використовуючи apt, ви або побачите повідомлення, яке

All packages are up to date

або

The following packages will be upgraded:

Також див apt list --upgradeable.

— часки
джерело

1

О, я не знав про новіше sudo apt update, дякую, я спробую це. І я здогадуюсь, я просто думав, що це взагалі не працює, тому що останніми рядками були лінії Підпису, і він просто зупинився після цього, тому я припустив, що він не оновлювався. Отже, це лише попередження щодо цієї проблеми, але продовжується, не втручаючись в інші оновлення?

— dlchang

1

@dlchang Це правильно. :)

— chaskes

Chrome - це IE наступного десятиліття ... так чи інакше, це неправда щодо "Усі пакети актуальні" apt, я отримую точно такі ж попередження. У Chrome протягом останніх кількох місяців виникло так багато таких питань, як його дивовижні користувачі Linux навіть використовують (я, на жаль, для webdev).

— Тодд

3

@Todd Ви все одно отримаєте попередження, оскільки репозиторій google все ще підписаний ключем SHA1, який амортизується. Причиною цього є те, що в SHA1 було виявлено зіткнення, що зменшує його ефективну силу, послаблюючи її безпеку до неприйнятної міри. Це та сама причина, чому веб-переглядачі, включаючи іронічно хромований, скаржаться на SSL-сертифікати за допомогою SHA1. Ефективна сила складає лише близько 2 ^ 60-2 ^ 70 операцій або близько того, зараз недостатньо добре, якщо розглядати комп'ютерну машину 20+ TFLOPS GPU досить дешево.

— MttJocy

aptне працює для мене, як ви пояснюєте. Каже, 7 пакетів можна оновити. Запустіть "список вподобань - оновлений", щоб побачити їх.

— musiKk

32

Debian та Ubuntu застосовують SHA256або вищі записи у файлах Release та / або Packages з березня . Сховища, у яких їх відсутні, потрібно виправити їх власниками.

У вікі Debian є огляд зламаних сховищ .

— webwurst
джерело

19

Як говорить @chaskes, це проблема з сховищем, а не з комп'ютером.

@webwurst має хороші посилання на основну проблему. Також є роз'яснення щодо підписів.

Якщо ви розміщуєте сховище, яке видає ці помилки. Рішення полягає в тому, щоб змінити значення за замовчуванням cert-digest-algoбуде SHA256. За замовчуванням gnupg за замовчуванням використовуєSHA1

Після того, як ви вирішити цю проблему наступним попередженням буде то , що підпис «використовує слабкий алгоритм дайджесту (SHA1)» І виправити , що ви можете встановити digest-algoв SHA256якості добре.

Ці значення переходять на сервер репозиторію, в gpg.confякому використовується сховище.

Коротка рука - це прикласти

cert-digest-algo SHA256
digest-algo SHA256

у ваш ~/.gnupg/gpg.confфайл.

У нашому проекті тут позначено, який повинен мати приклад, як це виправити для нашого механізму розгортання.

— Туллі
джерело

4

Щоб уникнути цієї помилки, ви можете видалити сховище.

Зауважте, що видалення сховища не дозволить Chrome отримувати будь-які оновлення , включаючи важливі оновлення безпеки!
Це зробить ваш браузер уразливим до збільшення кількості загроз з часом!

Якщо ви дійсно хочете повністю видалити або вимкнути сховище, вам слід розглянути можливість видалення Chrome і перехід на інший веб-переглядач, як-от його варіант з відкритим кодом chromium.

_{Цю замітку додав ByteCommander .}

Спочатку шукайте Software and Updatesв тире. Відкрийте його та перейдіть на Other Softwareвкладку.

Там шукайте такий запис:

http://dl.google.com/linux/earth/deb/dists/stable/

і видаліть його.

Нарешті перейдіть на Authenticationвкладку, і ви знайдете щось із згадкою про "Google", видаліть і це.

Слід перестати показувати це дратівливе повідомлення про помилку кожного разу, коли ви намагаєтесь оновити свої сховища зараз.

— Хайет Махамуд
джерело

12

Це також зупинить майбутні оновлення Google Chrome, що, мабуть, не те, чого хоче ОП.

— edwinksl

Примітка: хромований ppa тепер виправлений.

— starbeamrainbowlabs