Comment réparer apt: La signature par clé utilise l'algorithme de digestion faible (SHA1)?

129

J'ai commencé la configuration en ajoutant des référentiels, puis je suis allé en lancer une sudo apt-get updateavant de commencer à installer d'autres logiciels, et j'ai les lignes de clé Signature et ça s'arrête. Donc, cela ne me permettra essentiellement pas de mettre à jour aucun paquet maintenant.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Je n'ai jamais vu cela auparavant, chaque fois que je configure et commence à installer des choses dans Ubuntu. Y a-t-il autre chose que je puisse faire?

apt

— Dlchang
source

2

Ayant exactement le même problème. J'imagine que cela ne peut être corrigé que du côté de Google ou peut-être autoriser la recherche de mises à jour dans des référentiels avec des "algorithmes de sécurité faibles", mais je ne sais pas comment et constituerait probablement un risque pour la sécurité. Comme indiqué dans ce blog , le mouvement provenait d'une source instable dans Debian instable et Canonical l'a inclus pour les raisons suivantes:> Xenial (Ubuntu 16.04 LTS) sera pris en charge pendant cinq ans et le paysage risque de beaucoup changer au cours des cinq prochaines années. À propos, il y a un bogue dans Launchpad [ici] ( bugs.launchpad.net/ubuntu

— Erwinstein

Non seulement avec Google, j'ai le même problème avec les pilotes Samsung et Virtualbox ...

— ionreflex

1

En guise de solution de contournement temporaire, vous pouvez essayer, à toutes fins pratiques, d’installer le navigateur Chrome, presque identique. Comme il provient du dépôt Canonical, il ne devrait pas avoir ce problème.

— arielf

Où est le lieu approprié pour signaler cela à Google afin de résoudre le problème avec son référentiel Google Chrome?

— Orschiro

@arielf Ya, j'ai fini par le faire en attendant un correctif de Google, car cela semble être la seule chose que l'on puisse faire à partir de ma recherche sur des forums.

— dlchang

63

Le problème avec la source Google est du côté de Google, mais le apt-getsignale simplement comme un avertissement. Ce problème ne vous empêche pas de mettre à jour des paquets.

Vous utilisez apt-getet ce que vous voyez est le comportement normal après l'exécution update: il effectue la mise à jour mais ne fournit pas d'informations supplémentaires.

Vous devez suivre sudo apt-get updateavec sudo apt-get upgradepour voir si des mises à niveau du paquet sont disponibles.

Le plus récent sudo apt update(notez que c'est juste apt) fournit des informations sur les résultats.

En utilisant apt, vous verrez soit un message qui

All packages are up to date

ou

The following packages will be upgraded:

Voir aussi apt list --upgradeable.

— chaskes
source

1

Oh, je ne connaissais pas le plus récent sudo apt update, merci, je vais essayer. Et je suppose que je pensais juste que cela ne fonctionnait pas du tout parce que les dernières lignes étaient les lignes Signature et que cela s’arrêtait juste après, j’imaginais donc que ce n’était pas la mise à jour. Donc, ce n'est qu'un avertissement pour ce problème, mais continue sans interférer avec d'autres mises à jour?

— dlchang

1

@ Dlchang C'est correct. :)

— chaskes

Chrome est l'IE de la prochaine décennie ... en tout cas, ce n'est pas vrai de "Tous les paquets sont à jour" avec apt, je reçois exactement les mêmes avertissements. Chrome a eu tellement de problèmes de ce genre au cours des derniers mois, que ses incroyables utilisateurs de Linux l'utilisent même (je dois le faire pour webdev, malheureusement).

— Todd

3

@Todd Vous recevrez toujours les avertissements car le référentiel Google est toujours signé avec une clé SHA1 qui est dépréciée. La raison en est que SHA1 a eu des collisions qui réduisent sa force effective, ce qui affaiblit sa sécurité à un degré inacceptable. C'est la même raison pour laquelle les navigateurs, y compris ironiquement chrome, vont se plaindre des certificats SSL utilisant SHA1. La force effective n’est que d’environ 2 ^ 60-2 ^ 70 opérations, ce qui est insuffisant si l’on considère une machine de calcul GPU à 20+ TFLOPS trop chère.

— MttJocy

aptne fonctionne pas pour moi comme tu l'expliques. Il est dit que 7 paquets peuvent être mis à jour. Exécutez 'apt list --upgradable' pour les voir.

— MusiKk

32

Debian et Ubuntu appliquent SHA256ou améliorent les entrées dans les fichiers Release et / ou Packages depuis mars . Les référentiels manquants doivent être réparés par leurs propriétaires.

Il existe un aperçu des référentiels endommagés dans le wiki Debian.

— Webwurst
source

19

Comme @chaskes indique qu'il s'agit d'un problème lié au référentiel, pas à votre ordinateur.

@webwurst a de bons liens avec le problème sous-jacent. Il y a aussi une clarification sur les signatures.

Si vous hébergez un référentiel qui donne ces erreurs. La solution est de changer la valeur par défaut cert-digest-algopour être SHA256. Par défaut, gnupg utilise par défautSHA1

Après avoir corrigé ce problème l'avertissement suivant sera que la signature « utilise l' algorithme faible digest (SHA1) » Et de fixer que vous pouvez définir digest-algoà SHA256aussi bien.

Ces valeurs vont sur le serveur de gpg.confréférentiel utilisé par le référentiel.

La main courte est à ajouter

cert-digest-algo SHA256
digest-algo SHA256

à votre ~/.gnupg/gpg.confdossier.

Notre projet a un ticket ici qui devrait avoir un exemple de la façon de le réparer pour notre mécanisme de déploiement.

— Tully
source

4

Pour éviter cette erreur, vous pouvez supprimer le référentiel.

Veuillez noter que la suppression du référentiel empêchera Chrome de recevoir des mises à jour , y compris des mises à jour de sécurité importantes!
Cela rendra votre navigateur vulnérable à un nombre croissant de menaces au fil du temps!

Si vous souhaitez vraiment supprimer ou désactiver entièrement le référentiel, vous devez envisager de désinstaller Chrome et de passer à un autre navigateur, comme sa variante open-source chromium.

_{Cette note a été ajoutée par ByteCommander .}

Dans un premier temps, recherchez Software and Updatesdans le tableau de bord. Ouvrez-le et passez à l' Other Softwareonglet.

Cherchez là une entrée comme celle-ci:

http://dl.google.com/linux/earth/deb/dists/stable/

et l'enlever.

Enfin, allez dans l' Authenticationonglet et vous trouverez quelque chose qui mentionne "Google", supprimez-le aussi.

Il devrait cesser d'afficher ce message d'erreur gênant chaque fois que vous essayez de mettre à jour vos référentiels maintenant.

— Hayet Mahamud
source

12

Cela empêcherait également les futures mises à jour de Google Chrome, ce que le PO ne veut probablement pas.

— Edwinksl

Remarque: le ppa chrome a été corrigé.

— starbeamrainbowlabs