Bagaimana cara memperbaiki apt: Signature by key menggunakan algoritma digest lemah (SHA1)?

129

Saya mulai mengatur dengan menambahkan repositori dan kemudian menjalankan sudo apt-get updatelagi sebelum saya mulai menginstal perangkat lunak lain, dan saya mendapatkan garis kunci Signature dan berhenti. Jadi pada dasarnya tidak akan membiarkan saya memperbarui paket apa pun sekarang.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Saya belum pernah melihat ini sebelumnya setiap kali saya mengatur dan mulai menginstal hal-hal di Ubuntu. Apakah ada hal lain yang bisa saya lakukan?

apt

— dlchang
sumber

2

Memiliki masalah yang sama persis. Saya kira itu hanya dapat diperbaiki di pihak Google atau mungkin memungkinkan memeriksa pembaruan dalam repositori dengan "algoritma keamanan yang lemah" tapi saya tidak tahu bagaimana dan kemungkinan akan menjadi risiko keamanan. Seperti yang dinyatakan dalam blog ini , perpindahan dari sumber daya di Debian tidak stabil dan Canonical memasukkannya karena:> Xenial (Ubuntu 16.04 LTS) akan didukung selama 5 tahun, dan lanskapnya akan berubah banyak dalam 5 tahun ke depan. Ngomong-ngomong, ada bug yang diajukan di Launchpad [di sini] ( bugs.launchpad.net/ubuntu

— Erwinstein

Tidak hanya dengan Google, saya memiliki masalah yang sama dengan driver Samsung dan Virtualbox ...

— ionreflex

1

Sebagai solusi sementara, untuk hampir semua maksud dan tujuan, Anda dapat mencoba dan menginstal peramban kromium yang hampir sama. Karena berasal dari repositori Canonical, seharusnya tidak ada masalah ini.

— arielf

Di mana tempat yang tepat untuk melaporkan ini kembali ke Google untuk memperbaiki masalah dengan repositori Google Chrome mereka?

— orschiro

@ sendiri Ya, saya akhirnya melakukan itu sambil menunggu perbaikan dari Google, karena sepertinya itulah satu-satunya hal yang dapat dilakukan dari pencarian saya di forum.

— dlchang

63

Masalah dengan sumber Google ada di ujung Google, tetapi apt-gethanya melaporkan masalah sebagai peringatan. Masalah ini tidak menghentikan Anda untuk memutakhirkan paket.

Anda menggunakan apt-getdan apa yang Anda lihat adalah perilaku normal setelah berjalan update: ia melakukan pembaruan tetapi tidak memberikan informasi tambahan.

Anda harus mengikuti sudo apt-get updatedengan sudo apt-get upgradeuntuk melihat apakah ada peningkatan paket yang tersedia.

Yang lebih baru sudo apt update(pemberitahuan itu hanya apt) memang memberikan umpan balik tentang hasilnya.

Dengan menggunakan apt, Anda akan melihat pesan itu

All packages are up to date

atau

The following packages will be upgraded:

Lihat juga apt list --upgradeable.

— chaskes
sumber

1

Oh, saya tidak tahu tentang yang lebih baru sudo apt update, terima kasih saya akan mencobanya. Dan saya kira saya hanya berpikir itu tidak berhasil sama sekali karena baris terakhir adalah garis Signature dan hanya berhenti setelah itu jadi saya berasumsi itu tidak memperbarui. Jadi itu hanya peringatan untuk masalah itu, tetapi berlanjut tanpa mengganggu pembaruan lainnya?

— dlchang

1

@ Dlchang Itu benar. :)

— chaskes

Chrome adalah IE dasawarsa berikutnya ... lagi pula, ini tidak benar tentang "Semua paket terbaru" dengan apt, saya mendapatkan peringatan yang sama persis. Chrome telah memiliki banyak masalah seperti ini dalam beberapa bulan terakhir, para pengguna linux yang luar biasa bahkan menggunakannya (saya harus ke webdev, sayangnya).

— Todd

3

@Todd Anda masih akan mendapatkan peringatan karena repositori google masih ditandatangani dengan kunci SHA1 yang didepresiasi. Alasan untuk ini adalah karena SHA1 telah ditemukan memiliki tabrakan yang mengurangi kekuatan efektifnya melemahkan keamanannya ke tingkat yang tidak dapat diterima. Itu alasan yang sama mengapa browser termasuk ironisnya chrome sendiri akan mengeluh tentang sertifikat SSL menggunakan SHA1. Kekuatan efektif hanya sekitar 2 ^ 60-2 ^ 70 operasi atau jadi sekarang tidak cukup baik ketika mempertimbangkan mesin komputasi 20+ TFLOPS GPU cukup murah.

— MttJocy

apttidak bekerja untuk saya seperti yang Anda jelaskan. Dikatakan 7 paket bisa ditingkatkan. Jalankan 'apt list --upgradable' untuk melihatnya.

— musiKk

32

Debian dan Ubuntu memberlakukan SHA256atau entri yang lebih tinggi dalam file Rilis dan / atau Paket sejak Maret . Repositori yang hilang harus diperbaiki oleh pemiliknya.

Ada ikhtisar repositori rusak di wiki Debian.

— webwurst
sumber

19

Seperti @chaskes mengatakan ini adalah masalah dengan repositori bukan dengan komputer Anda.

@webwurst memiliki tautan yang baik ke masalah mendasar. Ada juga klarifikasi tentang tanda tangan.

Jika Anda meng-hosting repositori yang memberikan kesalahan ini. Solusinya adalah mengubah default cert-digest-algomenjadi SHA256. Secara default gnupg default untuk menggunakanSHA1

Setelah Anda memperbaiki masalah ini peringatan berikutnya akan bahwa tanda tangan "menggunakan lemah mencerna algoritma (SHA1)" Dan untuk memperbaiki bahwa Anda dapat mengatur digest-algountuk SHA256juga.

Nilai-nilai ini pergi pada server repositori gpg.confyang digunakan repositori.

Tangan pendek adalah untuk menambahkan

cert-digest-algo SHA256
digest-algo SHA256

ke ~/.gnupg/gpg.conffile Anda .

Proyek kami memiliki tiketnya di sini yang seharusnya memiliki contoh cara memperbaikinya untuk mekanisme penempatan kami.

— Tully
sumber

4

Untuk menghindari kesalahan ini, Anda bisa menghapus repositori.

Harap perhatikan bahwa menghapus repositori akan mencegah Chrome dari mendapatkan pembaruan apa pun , termasuk pembaruan keamanan penting!
Ini akan membuat peramban Anda rentan terhadap meningkatnya jumlah ancaman dari waktu ke waktu!

Jika Anda benar-benar ingin menghapus atau menonaktifkan repositori, Anda harus mempertimbangkan mencopot pemasangan Chrome dan beralih ke browser lain, seperti varian open-source-nya chromium.

_{Catatan ini ditambahkan oleh ByteCommander .}

Pada pencarian pertama untuk Software and Updatesdi Dash. Buka dan beralih ke Other Softwaretab.

Di sana cari entri seperti ini:

http://dl.google.com/linux/earth/deb/dists/stable/

dan hapus.

Terakhir buka Authenticationtab dan Anda akan menemukan sesuatu yang menyebutkan "Google", hapus juga.

Seharusnya berhenti menampilkan pesan kesalahan yang menjengkelkan itu setiap kali Anda mencoba memperbarui repositori Anda sekarang.

— Hayet Mahamud
sumber

12

Ini juga akan menghentikan pembaruan Google Chrome di masa mendatang, yang mungkin bukan yang diinginkan OP.

— edwinksl

Catatan: Chrome ppa sekarang telah diperbaiki.

— starbeamrainbowlabs