Question Comment corriger apt: La signature par clé utilise un algorithme de résumé faible (SHA1)?


J'ai commencé à configurer en ajoutant des dépôts, puis je suis allé sudo apt-get update encore une fois avant que je commence à installer d'autres logiciels, et j'obtiens les lignes de touches Signature et ça s'arrête. Donc, pour l'essentiel, cela ne me laissera pas mettre à jour les paquets maintenant.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Je n'ai jamais vu ça avant chaque fois que je configure et que je commence à installer des choses dans Ubuntu. Y a-t-il autre chose que je peux faire?


123
2018-04-22 19:43


origine


Avoir exactement le même problème. Je suppose que cela ne peut être résolu que du côté de Google ou peut-être permettre de vérifier les mises à jour dans les référentiels avec des "algorithmes de sécurité faibles", mais je ne sais pas comment et serait probablement un risque de sécurité. Comme indiqué dans ce blog, le changement était dû à une source instable de Debian et à Canonical parce que:> Xenial (Ubuntu 16.04 LTS) sera supporté pendant 5 ans et le paysage pourrait beaucoup changer au cours des 5 prochaines années. Au fait, il y a un bogue dans Launchpad [ici] (bugs.launchpad.net/ubuntu - CodeHarmonics
Pas seulement avec Google, j'ai le même problème avec les pilotes Samsung et Virtualbox ... - ionreflex
En guise de solution de contournement temporaire, vous pouvez essayer d’installer, pour la plupart des cas, le navigateur chrome le plus souvent identique. Comme il provient des repos Canonical, il ne devrait pas avoir ce problème. - arielf
Où est le lieu approprié pour le signaler à Google afin de résoudre le problème avec son référentiel Google Chrome? - orschiro
@aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaae à faire cela en attendant un correctif de Google, car cela semble être la seule chose que l'on puisse faire à partir de mes recherches sur les forums. - dlchang


Réponses:


Le problème avec la source de Google est à la fin de Google, mais apt-get ne fait que signaler le problème comme un avertissement. Ce problème ne vous empêche pas de mettre à niveau les packages.

Vous utilisez apt-get et ce que vous voyez est le comportement normal après l'exécution update: il effectue la mise à jour mais ne fournit pas d'informations supplémentaires.

Vous devez suivre sudo apt-get update avec sudo apt-get upgrade pour voir si des mises à jour sont disponibles.

Le plus récent sudo apt update (remarquez que c'est juste apt) fournit des commentaires sur les résultats.

En utilisant apt, vous verrez soit un message

All packages are up to date

ou

The following packages will be upgraded:

Regarde aussi apt list --upgradeable.


63
2018-04-25 03:55



Oh, je ne connaissais pas le nouveau sudo apt update, merci je vais essayer ça. Et je pense que je pensais juste que ça ne marchait pas du tout parce que les dernières lignes étaient les lignes Signature et que ça s'arrêtait juste après ça donc je pensais que ce n'était pas la mise à jour. Donc, ce n'est qu'un avertissement pour ce problème, mais continue sans interférer avec d'autres mises à jour? - dlchang
@dlchang C'est correct. :) - chaskes
Chrome est l'IE de la prochaine décennie ... de toute façon, ce n'est pas vrai à propos de "Tous les paquets sont à jour" avec apt, Je reçois exactement les mêmes avertissements. Chrome a eu tellement de problèmes comme ceux-ci au cours des derniers mois, ses incroyables utilisateurs Linux l'ont même utilisé (je dois malheureusement pour webdev). - Todd
@Todd Vous recevrez toujours les avertissements car le référentiel Google est toujours signé avec une clé SHA1 qui est dépréciée. La raison en est que SHA1 présente des collisions qui diminuent la force effective qui affaiblit sa sécurité à un degré inacceptable. C'est la même raison pour laquelle les navigateurs, y compris ironiquement le chrome lui-même, se plaindront des certificats SSL utilisant SHA1. La puissance effective n'est que d'environ 2 ^ 60-2 ^ 70 opérations ou alors maintenant pas assez bon quand on considère qu'une machine de calcul GPU 20+ TFLOPS est assez bon marché. - MttJocy
apt ne fonctionne pas pour moi comme vous l'expliquez. Ça dit 7 paquets peuvent être mis à jour. Exécutez 'apt list --upgradable' pour les voir. - musiKk


Debian et Ubuntu imposent SHA256 Entrées supérieures ou égales dans les fichiers Release et / ou Packages depuis mars. Les référentiels manquants doivent être corrigés par leurs propriétaires.

Il y a un aperçu des référentiels cassés dans le wiki Debian.


32
2018-05-02 22:08





Comme @chaskes dit que c'est un problème avec le référentiel pas avec votre ordinateur.

@webwurst a de bons liens avec le problème sous-jacent. Il y a aussi un clarification à propos des signatures.

Si vous hébergez un référentiel qui donne ces erreurs. La solution est de changer le défaut cert-digest-algo être SHA256. Par défaut, gnupg utilise par défaut SHA1

Après avoir corrigé ce problème, le prochain avertissement sera que la signature "utilise un algorithme de résumé faible (SHA1)" et que vous pouvez régler ce paramètre. digest-algo à SHA256 ainsi que.

Ces valeurs vont sur le serveur de référentiel dans le gpg.conf que le référentiel utilise.

La main courte est à ajouter

cert-digest-algo SHA256
digest-algo SHA256

à ton ~/.gnupg/gpg.conf fichier.

Notre projet a reçu un ticket ici qui devrait avoir un exemple de la façon de le réparer pour notre mécanisme de déploiement.


17
2018-05-23 22:33





Pour éviter cette erreur, vous pouvez supprimer le référentiel.

S'il vous plaît noter que la suppression du référentiel sera empêcher Chrome d'obtenir des mises à jour, y compris les mises à jour de sécurité importantes!
  Cette volonté rendre votre navigateur vulnérable à un nombre croissant de menaces au fil du temps!

Si vous souhaitez vraiment supprimer ou désactiver entièrement le référentiel, envisagez de désinstaller Chrome et de passer à un autre navigateur, comme sa variante open-source. chromium.

Cette note a été ajoutée par ByteCommander.

À la première recherche Logiciels et mises à jour dans le tableau de bord Ouvrez-le et passez à la Autres logiciels languette.

Ici, cherchez une entrée comme celle-ci:

http://dl.google.com/linux/earth/deb/dists/stable/

enter image description here

et retirez-le.

Enfin allez à la Authentification onglet et vous trouverez quelque chose mentionnant "Google", supprimez-le aussi.

Il devrait cesser de montrer ce message d'erreur agaçant chaque fois que vous essayez de mettre à jour vos référentiels maintenant.


4
2018-06-14 08:50



Cela arrêterait également les futures mises à jour de Google Chrome, ce qui n'est probablement pas ce que le PO veut. - edwinksl
Note: Le chrome ppa a maintenant été corrigé. - starbeamrainbowlabs