Vraag Hoe apt repareren: Signature by key maakt gebruik van zwak digest-algoritme (SHA1)?


Ik begon met het opzetten door het toevoegen van repositories en ging toen naar een sudo apt-get update opnieuw voordat ik begon met het installeren van andere software, en ik krijg de Signature-toetslijnen en deze stopt. Dus het laat me in essentie geen pakketten bijwerken.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Ik heb dit nog nooit eerder gezien wanneer ik instellingen installeer en begin met het installeren van dingen in Ubuntu. Kan ik nog iets anders doen?


123
2018-04-22 19:43


oorsprong


Het hebben van exact hetzelfde probleem. Ik vermoed dat het alleen kan worden opgelost aan de kant van Google of dat het mogelijk is om te controleren op updates in repositories met "zwakke beveiligingsalgoritmen" maar ik weet niet hoe en waarschijnlijk een beveiligingsrisico is. Zoals vermeld in deze blog, de verhuizing was van upsource in Debian onstabiel en Canonical heeft het opgenomen omdat:> Xenial (Ubuntu 16.04 LTS) gedurende 5 jaar wordt ondersteund, en het landschap kan in de komende 5 jaar veel veranderen. Trouwens, er is een bug opgeslagen in Launchpad [hier] (bugs.launchpad.net/ubuntu - CodeHarmonics
Niet alleen met Google, ik heb hetzelfde probleem met Samsung-stuurprogramma's en Virtualbox ... - ionreflex
Als een tijdelijke oplossing, voor bijna alle intenties en doeleinden, kunt u proberen de meest identieke chroombrowser te installeren. Omdat het afkomstig is van de Canonical repos, zou dit dit probleem niet moeten hebben. - arielf
Waar is de juiste plaats om dit terug te melden bij Google om het probleem met hun Google Chrome-repository op te lossen? - orschiro
@arielf Ya, dat heb ik gedaan terwijl ik op een oplossing van Google wachtte, want dat lijkt het enige te kunnen dat ik kan doen op mijn doorzoekende forums. - dlchang


antwoorden:


Het probleem met de Google-bron is aan het einde van Google, maar apt-get rapporteert het probleem gewoon als een waarschuwing. Dit probleem weerhoudt u niet van het upgraden van pakketten.

Je gebruikt apt-get en wat je ziet is het normale gedrag na het hardlopen update: het voert de update uit maar geeft geen aanvullende informatie.

Je moet volgen sudo apt-get update met sudo apt-get upgrade om te zien of pakketupgrades beschikbaar zijn.

De nieuwere sudo apt update (merk op dat het rechtvaardig is apt) geeft wel feedback over de resultaten.

Door het gebruiken van apt, u zult een bericht zien dat

All packages are up to date

of

The following packages will be upgraded:

Zie ook apt list --upgradeable.


63
2018-04-25 03:55



Oh, ik wist niet van de nieuwere sudo apt update, dank u dat zal ik proberen. En ik denk dat ik dacht dat het helemaal niet werkte, want de laatste regels waren de Signature-lijnen en het stopte gewoon daarna, dus ik ging ervan uit dat het niet werd bijgewerkt. Dus dat is slechts een waarschuwing voor dat probleem, maar gaat door zonder zich te bemoeien met andere updates? - dlchang
@dlchang Dat klopt. :) - chaskes
Chrome is het IE van het volgende decennium ... hoe dan ook, dit klopt niet bij 'Alle pakketten zijn up-to-date' apt, Ik krijg exact dezelfde waarschuwingen. Chrome heeft de afgelopen maanden zoveel problemen gehad, dat de geweldige Linux-gebruikers het zelfs gebruiken (ik moet helaas voor webdev). - Todd
@Todd Je krijgt nog steeds de waarschuwingen omdat de google-repository nog steeds is ondertekend met een SHA1-sleutel die wordt afgeschreven. De reden hiervoor is dat er is vastgesteld dat SHA1 botsingen vertoont die de effectieve kracht ervan verminderen, waardoor de beveiliging ervan in onaanvaardbare mate wordt verzwakt. Het is dezelfde reden waarom browsers, inclusief ironisch chroom zelf, klagen over SSL-certificaten met SHA1. De effectieve sterkte is slechts ongeveer 2 ^ 60-2 ^ 70 bewerkingen of is nu niet goed genoeg als een 20+ TFLOPS GPU-rekenmachine goedkoop genoeg is. - MttJocy
apt werkt niet voor mij, zoals u uitlegt. Het zegt 7 pakketten kunnen worden geüpgraded. Voer 'apt list --upgradable' uit om ze te zien. - musiKk


Debian en Ubuntu dwingen af SHA256 of hogere vermeldingen in de bestanden Release en / of Packages sinds maart. Repositories die ontbreken, moeten door hun eigenaars worden gerepareerd.

Er is een overzicht van kapotte repositories in de Debian-wiki.


32
2018-05-02 22:08





Zoals @chaskes zegt dat dit een probleem is met de repository niet met uw computer.

@webwurst heeft goede links naar het onderliggende probleem. Er is ook een verduidelijking over de handtekeningen.

Als u een repository host die deze fouten geeft. De oplossing is om de standaardinstelling te wijzigen cert-digest-algo zijn SHA256. Standaard gebruikt gnupg standaard het gebruik SHA1

Nadat u dit probleem hebt verholpen, is de volgende waarschuwing dat de handtekening "een zwak digest-algoritme (SHA1) gebruikt". En om te corrigeren dat u kunt instellen digest-algo naar SHA256 ook.

Deze waarden gaan op de repository-server in de gpg.conf die de repository gebruikt.

De korte hand is om toe te voegen

cert-digest-algo SHA256
digest-algo SHA256

aan jouw ~/.gnupg/gpg.conf het dossier.

Ons project heeft een ticket hier die een voorbeeld moet hebben van hoe het te repareren voor ons implementatiemechanisme.


17
2018-05-23 22:33





Om deze fout te voorkomen, kunt u de repository verwijderen.

Houd er rekening mee dat het verwijderen van de repository dit zal zijn voorkomen dat Chrome updates ontvangt, inclusief belangrijke beveiligingsupdates!
  Dit zal maak je browser kwetsbaar tot een toenemend aantal bedreigingen in de tijd!

Als u de repository werkelijk wilt verwijderen of uitschakelen, kunt u overwegen Chrome te verwijderen en naar een andere browser te gaan, zoals de open-source variant. chromium.

Deze opmerking is toegevoegd door ByteCommander.

In eerste instantie zoeken naar Software en updates in de Dash. Open het en schakel over naar Andere software tab.

Zoek daar naar een bericht als dit:

http://dl.google.com/linux/earth/deb/dists/stable/

enter image description here

en verwijder het.

Ga tenslotte naar de authenticatie tab en je zult iets vinden dat "Google" vermeldt, verwijder dat ook.

Het zou moeten stoppen met het tonen van dat vervelende foutbericht elke keer dat u probeert om uw repository's nu bij te werken.


4
2018-06-14 08:50



Dit zou ook toekomstige updates naar Google Chrome stoppen, wat waarschijnlijk niet is wat de OP wil. - edwinksl
Opmerking: de chrome ppa is nu verholpen. - starbeamrainbowlabs