Les signatures suivantes n'étaient pas valides: EXPKEYSIG 1397BC53640DB551

90

Ceci est le problème 952287: [User Feedback - Stable] Rapports d'échec d'installation / de mise à jour de Chrome pour Linux en raison de l'expiration de la clé de signature GPG.

Aujourd'hui, l'exécution aptde toutes mes machines génère cette erreur avec le PPA de Google (pour google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Vous avez déjà essayé d'importer à nouveau la clé GPG avec:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Source: référentiels de logiciels Google Linux

EDIT: ajoutez une ligne d'erreur en espagnol pour une meilleure visibilité:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: et français (pour couvrir les 3 langues les plus parlées ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

— Leo
source

11

Cela m'est juste arrivé aussi.

— Fred

8

évaluez ce lien support.google.com/chrome/thread/4032170?hl=fr et attendez! Nous ne pouvons rien faire de plus.

— Carlos Alberto Silveira de et le

1

J'ai ajouté un lien au rapport de bogue en haut de l'article. N'hésitez pas à le déplacer ou à le supprimer.

— DK Bose

4

Je pense qu'il est maintenant résolu

— Leo

1

Cela m'est arrivé aujourd'hui, 8 jours plus tard, et ça continue.

— Gregory Smitherman

64

C'est la protection que vous obtenez de ces contrôles. Vous ne voulez pas mettre à jour votre logiciel maintenant, alors que quelque chose ne va pas du tout chez Google. Attendez qu'ils le réparent. N'essayez pas de remplacer en réinstallant les clés jusqu'à ce qu'un mot officiel apparaisse qu'une nouvelle clé est la solution.

— Yareckon
source

9

Attendre qu'ils résolvent le problème n'est peut-être pas une option pour tous. Par exemple, cela casse les pipelines de CI pour nous. Si vous faites maintenant ce que vous faites, vous pouvez prendre le risque et désactiver les vérifications pour ce dépôt pour le moment en ajoutant [trusted=yes]à sa configuration:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main

— jelhan

4

Ce n'est pas la première fois que cela se produit. Je me souviens d'avoir eu le même problème avec Google au moins deux fois de plus au cours des dernières années. Je me demande ce qui se passe chez Google et pourquoi ils ne peuvent pas garder leurs affaires ensemble.

— Michael Härtl le

4

@jelhan C'est pourquoi les pipelines CI exploitent idéalement les caches / miroirs locaux plutôt que d'aller directement en amont.

— Konrad Rudolph Le

2

@ MichaelHärtl Je regarde Google et la méritocratie ne semble plus à la mode.

— DK Bose le

6

trusted=yesélimine l'objectif de la signature numérique et compromet fondamentalement tout votre système. Vous ne devriez pas faire cela à la légère, surtout pas une bonne idée pour une "solution de contournement temporaire".

— kissgyorgy

33

Apparemment, Google n’a pas prolongé la validité du certificat de signature… il devait s’achever aujourd’hui et c’est ce qui a été fait. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

peut-être que Google va le changer, aujourd'hui ou alors… alors la mise à jour du CERT devrait fonctionner correctement et tout devrait revenir à la normale.

— DooMMasteR
source

15

le problème a été résolu par Google Abr 12/2019 (Google Chrome uniquement. Testé dans Ubuntu 18.04.x)

Il n'y a rien à faire. Le référentiel a déjà été signé

Mise à jour du 19/2019:

L'équipe Google a confirmé que des correctifs supplémentaires avaient été apportés à d' autres produits Google non Google Chrome.

source: https://support.google.com/chrome/thread/4032170

— ajcg
source

1

Où avez-vous signalé cela? Google ne l'a toujours pas corrigée sur certains autres référentiels, par exemple le gestionnaire de musique, alors j'aimerais également le signaler.

— Paddy Landau Le

9

On dirait que les clés de signature de Google ont expiré. Soyez patient et attendez qu’ils les réparent (ce qui peut nécessiter ou non de rajouter la clé après l’avoir réparée).

— paed808
source

1

Pour quiconque n'est pas assez patient pour que Google mette à jour le cert ...

vous pouvez résoudre ce problème en procédant comme suit:

Téléchargez ceci: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(nouvelle version de chrome, vous pouvez l'obtenir vous-même en googling chrome)

Fermez Chrome.
Ouvrez "Logiciels et sources", allez dans l'onglet "Sources"
Supprimer (ou désactiver si vous souhaitez le réactiver ultérieurement) la source Google (tapez votre mot de passe) et fermez la fenêtre
Autoriser "Logiciels et sources" à recharger des sources
Allez dans le centre logiciel, allez à "installé"
Trouvez Chrome, désinstallez-le.
Fermer les logiciels et les sources
Ouvrez un terminal, tapez:

sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y
Fermez le terminal, allez dans le dossier des téléchargements et double-cliquez sur le fichier "google-chrome-stable_current_amd64.deb" (cela ouvrira le Centre logiciel).
Cliquez sur Installer

vous pouvez maintenant ouvrir chrome back up. tous vos onglets et mots de passe enregistrés ect sont toujours là.

— tatsu
source

@CarlosAlbertoSilveiradeAnd a dit "Génial !!, travaillez pour moi! Merci", mais comme modification de mon message car il ne sait pas encore comment utiliser ce site .... J'ajoute pour que les gens sachent que cela a fonctionné pour quelqu'un.

— tatsu

1

15 avril, et je reçois toujours cette erreur avec les référentiels Google Earth et Music Manager. Ils prennent vraiment leur temps avec ça.

— MikeF
source

0

Vous pas. Vous devez attendre que Google renouvelle ses clés et attend une mise à jour.

Le message important est:

Les signatures suivantes n'étaient pas valides: EXPKEYSIG 1397BC53640DB551 Google Inc. (autorité de signature des paquets Linux)

Cela signifie que la signature cryptographique est invalide. La source de ceci peut être une attaque, une mauvaise configuration, ou un autre type de problème technique. Si vous forcez la mise à jour de votre système, vous exécutez une version non vérifiée de votre navigateur Web, ce qui peut vous exposer à de nombreux problèmes de sécurité.

la source

— sxn
source

0

Google doit mettre à jour sa clé GPG. Vous pouvez toutefois marquer la source deb comme étant approuvée, jusqu'à ce que Google renouvelle sa clé:

cd /var/lib/apt/lists
sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg
ajoutez trusted=yesvotre fichier /etc/apt/sources.list.d/google-chrome.list pour qu'il ressemble à ceci:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
apt clean
apt update

Vous obtenez toujours une erreur GPG non valide, mais vous pouvez l'ignorer pour le moment.

REMARQUE : faites attention car cela peut entraîner des problèmes de sécurité sur des réseaux non sécurisés lorsqu'aucun https n'est utilisé dans le lien de source deb.

EDIT: l' avertissement GPG n'apparaît plus. Google a renouvelé sa clé. Si vous avez suivi la solution ci-dessus, retirez simplement la trusted=yespièce, puis apt cleanet finalement apt update. Vous ne devriez plus voir aucune erreur: D

— Dimitris Moraitidis
source

2

Ne fais pas ça. Si pour aucune autre raison que la source étant non chiffrée. Si vous faisiez cela, oubliez tout, puis allez sur un mauvais réseau, il pourrait facilement intercepter et renverser la version, packages.list, et donc exécuter tout ce qui lui plait en tant que root sur votre ordinateur. Ce n'est pas une bonne idée.

— Oli

2

Vous avez manqué mon point. Si quelqu'un peut intercepter votre trafic réseau, il peut prétendre être Google. Il n'y a pas de TLS sur une connexion http: //. Normalement, Apt est ici parce qu’il vérifie que toutes les listes de versions et de packages sont signées. Si vous interceptiez cela normalement et que vous modifiiez quelque chose par malveillance, vous verriez une erreur de signature. Vous contournez tout ce mécanisme ici.

— Oli

1

En effet. Merci pour l'explication

— Dimitris Moraitidis

2

D'accord, mais vous pouvez simplement le rendre temporairement https avec trust = yes (pour le moment, en supposant que vous n'êtes pas TLS MiTM). Par exemple:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

— link_boy

1

Aussi bien. Donc, je suppose que mon récent montage, je devrais au moins revenir à 0 au lieu de -2: P

— Dimitris Moraitidis

0

Comme @DooMMasteR l'a dit, Google a laissé les certificats de signature expirer pour leurs référentiels Linux , dont la date d'échéance était le 12 avril . @yareckon a expliqué que cette apterreur de sécurité fonctionnait comme prévu pour empêcher l'installation de logiciels mal signés.

9 heures après la publication du problème, Google fixait les certs de manière transparente pour les utilisateurs utilisant le référentiel Google Chrome . L'erreur s'est arrêtée après le renouvellement des certs, progressivement également sur le reste des pensions reposées par Google (Google Earth, Google Music Manager ...).

Aucune action n'est requise (et recommandée) du côté des utilisateurs, dans l'attente que le dépôt utilisé soit signé avec des clés renouvelées.

— Leo
source