Aşağıdaki imzalar geçersizdi: EXPKEYSIG 1397BC53640DB551


90

Bu Sayı 952287: [Kullanıcı Geri Bildirimi - Kararlı] Zaman aşımına uğramış GPG imzalama anahtarı nedeniyle Linux için Chrome raporları yüklenemedi / güncellenmedi


Bugün, apttüm makinelerimde yayınlamak Google PPA ile şu hatayı veriyor (için google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

GPG anahtarını tekrar içe aktarmayı zaten denedim:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Kaynak: Google Linux Yazılım Depoları

EDIT: daha iyi görünürlük için İspanyolca hata satırı ekleyin:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: ve Fransızca ( ilk 3 dili kapsayacak şekilde ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
Sadece bana da oldu.
Fred

8
Bu bağlantıyı upvote support.google.com/chrome/thread/4032170?hl=en ve bekle! Daha fazla hiçbir şey yapamayız.
Carlos Alberto Silveira de

1
Gönderinin üstündeki hata raporuna bir bağlantı ekledim. Lütfen taşımak veya silmek için çekinmeyin.
DK Bose

4
Sanırım şimdi
Leo

1
Bu bana bugün, 8 gün sonra oldu ve hala oluyor.
Gregory Smitherman

Yanıtlar:


64

Bu kontrollerden elde ettiğiniz koruma budur. Google'ın sonunda bir sorun çözülürken yazılımınızı şu anda güncellemek istemezsiniz. Tamir edene kadar bekle. Yeni bir anahtarın çözüm olduğunu söyleyene kadar resmi bir kelime çıkana kadar tuşları tekrar kullanarak geçersiz kılmaya çalışmayın.


9
Tamir edene kadar beklemek herkes için bir seçenek olmayabilir. Örneğin, bu bizim için CI boru hatlarını kırıyor. Şimdi ne yapıyorsanız, bu [trusted=yes]yapılandırmaya ekleyerek şimdilik bu deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
depoya ait

4
Bu ilk defa olmuyor. Bu sorunun Google’da son yıllarda en az 2 kez daha bulunduğunu hatırlıyorum. Google’da neler olup bittiğini ve neden eşyalarını bir arada tutamadıklarını merak ediyorum.
Michael Härtl

4
@jelhan Bu yüzden CI boru hatları ideal olarak doğrudan yukarı akış yapmak yerine yerel aynalara / önbelleklere dokunuyor.
Konrad Rudolph

2
@ MichaelHärtl Google'ı izliyorum ve meritokrasinin modası geçmiş gibi görünüyor.
DK Bose

6
trusted=yesDijital imzalamanın tüm amacını yitirir ve temel olarak tüm sisteminizi tehlikeye atar. Hafifçe yapmamalısınız, özellikle “geçici bir geçici çözüm” için iyi bir fikir değil.
kissgyorgy


15

sorun Google Abr 12/2019 (Sadece Google Chrome'da yapıldı. Ubuntu 18.04.x'te test edildi)

görüntü tanımını buraya girin Yapacak hiçbir şey yok. Depo zaten imzalandı

Güncelleme: 19.03.2019:

görüntü tanımını buraya girin

Google Ekibi, Chrome dışı diğer Google ürünleri için ek düzeltmelerin yapıldığını onayladı

kaynak: https://support.google.com/chrome/thread/4032170


1
Bunu nereden rapor ettin? Google, Müzik Yöneticisi gibi diğer bazı depolarda hala bu sorunu çözmedi, ben de bunu bildirmek istiyorum.
Paddy Landau

9

Google’ın imzalama anahtarlarının süresi dolmuş gibi görünüyor. Sabırlı olun ve düzeltmelerini bekleyin (bu anahtarın düzeltildikten sonra yeniden eklenmesini gerektirebilir veya gerektirmeyebilir).


1

Google’ın sertifikalarını güncellemesi için yeterince sabırlı olmayan biri için ...

Bunu aşağıdaki adımlarla düzeltebilirsiniz:

  1. Bunu indirin: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(Yeni versiyon chrome, chrome chrome ile kendin elde edebilirsin)

  1. Chrome'u kapatın.
  2. "Yazılım ve Kaynaklar" ı açın, "Kaynaklar" sekmesine gidin
  3. Google kaynağını kaldırın (veya daha sonra yeniden etkinleştirmek isterseniz devre dışı bırakın) (şifrenizi yazın) ve pencereyi kapatın
  4. "Yazılım ve Kaynaklar" ın kaynakları yeniden yüklemesine izin ver
  5. Yazılım Merkezine gidin, "Yüklendi" ye gidin
  6. Chrome'u bulun, kaldırın.
  7. Yazılım ve kaynakları kapatın
  8. Bir terminal açın, şunu yazın:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Terminali kapatın ve indirme klasörüne gidin ve "google-chrome-stable_current_amd64.deb" dosyasına çift tıklayın (bu, Yazılım Merkezini açar)

  10. Yükle'ye tıklayın

Artık kromu tekrar açabilirsiniz. Tüm sekmeleriniz ve kaydedilen şifreler vb. hala orada.


@CarlosAlbertoSilveiradeAnd "Harika !!, benim için çalış! Teşekkürler" dedi, ancak yazımın bir düzenlemesi olarak, bu siteyi nasıl kullanacağını bilmediği için ekledim.
tatsu

1

15 Nisan’da, bu hatayı Google Earth ve Müzik Yönetici depolarında alıyorum. Elbette bununla tatlı zamanlarını alıyorlar.


0

Sen değil. Google’ın anahtarlarını yenilemesi ve bir güncelleme yapması için beklemelisiniz.

Önemli mesaj:

Aşağıdaki imzalar geçersizdi: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Linux Paketleri İmza Yetkilisi)

Bu, şifreleme imzasının geçersiz olduğu anlamına gelir. Bunun kaynağı bir saldırı, yanlış bir yapılandırma veya başka bir teknik sorun olabilir. Sisteminizi güncellemeye zorlamak, web tarayıcınızın doğrulanmamış bir sürümünü çalıştırmanıza neden olur ve bu da sizi birçok güvenlik sorununa maruz bırakabilir.

kaynak


0

Google orada GPG anahtarını güncellemeli. Bununla birlikte, Google anahtarlarını yenilinceye kadar deb kaynağını güvenilir olarak işaretleyebilirsiniz:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. eklemek trusted=yesiçin de /etc/apt/sources.list.d/google-chrome.list böyle bakmak için, dosyanın:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Hala geçersiz bir GPG hatası alıyorsunuz, ancak şimdilik bunu yok sayabilirsiniz.

NOT : Deb kaynak bağlantısında https kullanılmadığında, güvenilmeyen ağlarda güvenlik sorunlarına yol açabileceğinden dikkatli olun.

EDIT: GPG uyarısı artık görünmüyor. Google anahtarlarını yeniledi. Yukarıdaki çözümü izlediyseniz, sadece trusted=yesparçayı çıkarın , sonra apt clean& nihayet apt update. Artık herhangi bir hata görmemeniz gerekir: D


2
Bunu yapma Kaynağın şifrelenmemesinden başka bir sebep yoksa. Bunu yaptıysanız, tüm bunları unuttuysanız ve ardından kötü bir ağa saptıysanız, Sürüm, paketler.listesini kolayca arayabilir ve alt-üst edebilir ve bu nedenle bilgisayarınızda kök olarak sevilen herhangi bir şeyi çalıştırabilir . İyi bir fikir değil.
Oli

2
Amacımı özledin. Birisi ağ trafiğinizi engelleyebilirse, Google gibi davranabilir. Http: // bağlantısında TLS yok. Normalde Apt burada geri gelir çünkü tüm sürümlerin ve paket listelerinin imzalandığını kontrol eder. Bunu normal olarak ele aldıysanız - ve kötü niyetli bir şeyi değiştirdiyseniz - bir imzalama hatası görürsünüz. Buradaki tüm mekanizmayı atlıyorsun.
Oli

1
Aslında. Açıklama için teşekkürler
Dimitris Moraitidis

2
Kabul edildi, ancak geçici olarak https ile güvenilen = https yapabilirsiniz = evet (şimdilik TLS MiTM olmadığınızı varsayarak). Örneğin:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
Ayrıca gerçekten. Sanırım son düzenlemem, en azından -2 yerine 0'a geri dönmeliyim: P
Dimitris Moraitidis

0

@DooMMasteR söylediği gibi, Görünüşe Google imzalama sertifika süresinin dolmasına izin kendi için Linux depoları oldu son tarih, 12 Nisan . @ yareckon, bu aptgüvenlik hatasının hatalı imzalanan yazılımların yüklenmesini önlemek için beklendiği gibi çalıştığını açıkladı .

Sorun gönderildikten 9 saat sonra, Google , Google Chrome repo kullanan kullanıcılar için şeffaf bir şekilde saygınlık kazandı . Hata, sertifikaları yeniledikten sonra ve ayrıca Google'ın sahip olduğu diğer depolarda da (Google Earth, Google Müzik Yöneticisi ...) durdu .

Kullanıcılar tarafından herhangi bir işlem yapılması gerekmez (ve tavsiye edilmez), sadece kullanılan depoların yenilenen anahtarlarla imzalanmasını bekleyin.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.