次の署名は無効でした:EXPKEYSIG 1397BC53640DB551


90

これは問題952287:[ユーザーフィードバック-安定] GPG署名キーの有効期限が切れたためにLinux向けChromeがインストール/更新に失敗するというレポート


今日、aptすべてのマシンで実行すると、Google PPAでこのエラーが発生します(for google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

すでにGPGキーをインポートしようとしました:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

出典:Google Linuxソフトウェアリポジトリ

編集:より良い可視性のためにスペイン語でエラー行を追加します:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2:およびフランス語(上位3言語をカバー):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
それはちょうど私にも起こった。
フレッド

8
このリンクに投票してくださいsupport.google.com/chrome/thread/4032170?hl=jaお待ちください!これ以上何もできません。
カルロスアルベルトシルベイラデアンド

1
投稿の上部にバグレポートへのリンクを追加しました。移動または削除してください。
DKボーズ

4
私はそれが今修正されていると思う
レオ

1
これは今日、8日後に私に起こり、それはまだ起こっています。
グレゴリースミザーマン

回答:


64

これは、これらのチェックから得られる保護です。 Google側で何かが台無しになっている間は、今すぐソフトウェアを更新したくないでしょう。修正されるまで待ちます。新しいキーが解決策であるという公式の言葉が出るまで、キーを再インストールしてオーバーライドしようとしないでください。


9
彼らがそれを修正するまで待つことは、すべての選択肢ではないかもしれません。例えば、これは私たちにとってCIパイプラインを壊しています。あなたが今やっていることなら、あなたはその[trusted=yes]構成に追加することによって、このレポのチェックを無効にしてリスクを冒すかもしれません:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan

4
これは初めてではありません。過去数年間で、Googleでこれと同じ問題を少なくとも2回以上覚えていることを覚えています。グーグルで何が起こっているのか、なぜ彼らは自分たちのものを一緒に保つことができないのだろうか。
MichaelHärtl

4
@jelhan CIパイプラインは、直接上流に行くのではなく、ローカルミラー/キャッシュを利用するのが理想的です。
コンラッドルドルフ

2
@MichaelHärtl私はグーグルを見てきたが、実力主義は流行していないようだ。
DKボーズ

6
trusted=yesデジタル署名の目的全体を無効にし、基本的にシステム全体を危険にさらします。それを軽く行うべきではありません。特に「一時的な回避策」としては良い考えではありません。
kissgyorgy


15

この問題はGoogle Abr 12/2019によって解決されました(Google Chromeのみ。Ubuntu18.04.xでテスト済み)

ここに画像の説明を入力してください することは何もない。リポジトリはすでに署名されています

2019年4月19日更新:

ここに画像の説明を入力してください

Googleチームは、Chrome以外のその他のGoogle製品については追加の修正が行われていることを確認しました

ソース:https : //support.google.com/chrome/thread/4032170


1
どこで報告しましたか?Googleは、ミュージックマネージャなど、他の特定のリポジトリでまだ修正していませんので、同様に報告したいと思います。
水田ランダウ

9

Googleの署名キーの有効期限が切れているようです。辛抱強く、それらが修正されるのを待ちます(修正後にキーを再度追加する必要がある場合とない場合があります)。


1

グーグルが証明書を更新するのに十分な忍耐力がない人のために...

次の手順でこれを修正できます。

  1. これをダウンロード:https : //dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(クローム新バージョン、クロームをグーグルで自分で取得できます)

  1. Chromeを閉じます。
  2. 「ソフトウェアとソース」を開き、「ソース」タブに移動します
  3. Googleソースを削除(または後で再度有効にする場合は無効)(パスワードを入力)してウィンドウを閉じます
  4. 「ソフトウェアとソース」にソースのリロードを許可します
  5. ソフトウェアセンターに移動し、「インストール済み」に移動します
  6. Chromeを見つけてアンインストールします。
  7. ソフトウェアとソースを閉じる
  8. ターミナルを開き、次を入力します。

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. ターミナルを閉じてダウンロードフォルダーに移動し、「google-chrome-stable_current_amd64.deb」ファイルをダブルクリックします(ソフトウェアセンターが開きます)

  10. インストールをクリックします

クロームバックアップを開くことができます。すべてのタブと保存されたパスワードなどはまだそこにあります。


@CarlosAlbertoSilveiradeAndは「素晴らしい!!、私のために働いてくれてありがとう!」と言ったが、彼はまだこのサイトの使い方を知らないので私の投稿を編集した。
タツ

1

4月15日、Google EarthおよびMusic Managerリポジトリでこのエラーが引き続き発生しています。彼らは確かにこれで彼らの甘い時間を取っています。


0

あなたはしません。Googleがキーを更新し、更新されるまで待つ必要があります。

重要なメッセージは次のとおりです。

次の署名は無効でした:EXPKEYSIG 1397BC53640DB551 Google Inc.(Linuxパッケージ署名機関)

これは、暗号署名が無効であることを意味します。この原因は、攻撃、構成の誤り、またはその他の種類の技術的な問題です。システムを強制的に更新すると、Webブラウザーの未検証バージョンが実行され、多くのセキュリティ上の問題が発生する可能性があります。

ソース


0

GoogleはGPGキーを更新する必要があります。ただし、Googleがキーを更新するまで、debソースを信頼済みとしてマークできます。

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. /etc/apt/sources.list.d/google-chrome.listファイルを追加するtrusted=yesと、次のようになります。deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

無効なGPGエラーは引き続き表示されますが、今のところ無視できます。

:debソースリンクでhttpsが使用されていない場合、信頼できないネットワークではセキュリティの問題が発生する可能性があるため注意してください。

編集: GPG警告は表示されなくなりました。Googleはキーを更新しました。上記の解決策に従った場合は、trusted=yesパーツを削除して、apt clean最後に&を削除しapt updateます。エラーは表示されなくなります:D


2
これをしないでください。暗号化されていないソース以外の理由がない場合。あなたはこれをしなかった場合は、それについてのすべてを忘れてしまった後、悪いネットワークに迷い込ん、それが簡単に傍受し、リリース、packages.listを破壊するため、基本的に実行できるもの、それは、コンピュータ上のルートとして気に入っています。良い考えではありません。
オリ

2
あなたは私のポイントを逃しました。誰かがあなたのネットワークトラフィックを傍受できるなら、彼らはGoogleになりすますことができます。http://接続にはTLSはありません。通常、Aptはすべてのリリースおよびパッケージリストが署名されていることを確認するため、ここに戻ってきます。これを通常通り傍受し、悪意を持って何かを変更した場合、署名エラーが表示されます。ここでは、このメカニズム全体をバイパスしています。
オリ

1
確かに。説明ありがとう
ディミトリス・モライティディス

2
同意しましたが、一時的にhttps = trusted = yesにするだけで構いません(現時点では、TLS MiTMではないことを前提としています)。例えば:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
確かに。ですから、最近の編集では、少なくとも-2の代わりに0に戻る必要があります。:P
Dimitris Moraitidis

0

@DooMMasteRが言ったように、GoogleLinuxリポジトリの署名証明書の有効期限切れるようにしています。期限は4月12日です。@yareckonは、このaptセキュリティエラーは、署名が不適切なソフトウェアがインストールされるのを防ぐために期待どおりに機能していると説明しました。

問題が投稿されてから9時間後、GoogleはGoogle Chromeリポジトリを使用してユーザーの証明書を透過的に修正しましたGoogleが所有する他のリポジトリ(Google Earth、Google Music Manager ...)でも証明書を徐々に更新した後、エラーは停止しました。

ユーザー側からのアクションは必要ありません(推奨)。使用中のリポジトリが更新されたキーで署名されるのを待っています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.