aptの修正方法：キーによる署名は弱いダイジェストアルゴリズム（SHA1）を使用しますか？

129

リポジトリを追加してセットアップsudo apt-get updateを開始し、他のソフトウェアのインストールを開始する前にもう一度実行して、署名キー行を取得して停止しました。したがって、パッケージを更新することは基本的にできません。

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Ubuntuにセットアップしてインストールを開始するたびに、これを見たことはありません。他にできることはありますか？

apt

— dlchang
ソース

2

まったく同じ問題を抱えている。Google側でしか修正できないか、「弱いセキュリティアルゴリズム」を使用してリポジトリの更新をチェックできるかもしれませんが、どのようにセキュリティリスクが生じるかわかりません。このブログで述べたように、この動きはDebian不安定版のアップソースからのものであり、Canonicalには次の理由が含まれていました。ところで、Launchpadにファイルさ

— Erwinstein

Googleだけでなく、SamsungドライバーとVirtualboxでも同じ問題があります

— ...-ionreflex

1

一時的な回避策として、ほぼすべての意図と目的のために、ほとんど同じクロムブラウザーをインストールしてみてください。Canonicalリポジトリに由来するため、この問題は発生しません。

— arielf

Google Chromeリポジトリの問題を修正するために、これをGoogleに報告する適切な場所はどこですか？

— -orschiro

@arielf Ya、Googleからの修正を待っている間にそれをやった。それはフォーラムを検索することでできる唯一のことのようだ。

— dlchang

63

Googleソースの問題はGoogle側にありますがapt-get、警告として問題を報告しているだけです。この問題は、パッケージのアップグレードを妨げるものではありません。

使用apt-getしていて、表示されているのは実行後の通常の動作updateです。更新は実行されますが、追加情報は提供されません。

あなたはに従う必要がありますsudo apt-get updateしてsudo apt-get upgrade任意のパッケージのアップグレードが利用可能かどうかを確認します。

新しいsudo apt update（それが単なるであることに注意apt）は、結果に関するフィードバックを提供します。

を使用するとapt、次のメッセージが表示されます。

All packages are up to date

または

The following packages will be upgraded:

も参照してくださいapt list --upgradeable。

— cha
ソース

1

ああ、私は新しい人について知りませんでしたsudo apt update、ありがとうございます。そして、最後の行が署名行であり、その後停止したため、更新されていないと仮定して、まったく機能しないと思っただけだと思います。それはその問題に対する単なる警告ですが、他の更新を妨げることなく継続しますか？

— -dlchang

1

@dlchangそうですね。:)

— 16

Chromeは次の10年のIEです...とにかく、これは「すべてのパッケージが最新」であるという事実ではなくapt、まったく同じ警告が表示されます。Chromeはここ数ヶ月でこのような問題を抱えており、その驚くべきLinuxユーザーもそれを使用しています（残念ながらwebdevが必要です）。

— トッド

3

@Todd googleリポジトリは、まだ使用されていないSHA1キーで署名されているため、警告が表示されます。この理由は、SHA1が衝突を起こし、その有効強度が低下し、セキュリティが許容できないほど弱くなることがわかっているためです。皮肉なことにchrome自体を含むブラウザが、SHA1を使用したSSL証明書について文句を言うのと同じ理由です。有効な強度は2 ^ 60-2 ^ 70操作程度であるため、20 + TFLOPS GPUコンピューティングマシンが十分に安価であることを考えると十分ではありません。

— -MttJocy

aptあなたが説明するように私のために動作しません。7つのパッケージをアップグレードできる

— musiKk

32

DebianとUbuntuは、3月以降のSHA256リリースファイルまたはパッケージファイル、あるいはその両方で、より高いエントリを強制します。これらが見つからないリポジトリは、所有者が修正する必要があります。

Debian wikiには壊れたリポジトリの概要があります。

— webwurst
ソース

19

@chaskesが言うように、これはあなたのコンピューターではなくリポジトリの問題です。

@webwurstには、根本的な問題へのリンクがあります。署名についての説明もあります。

これらのエラーが発生しているリポジトリをホストしている場合。解決策は、デフォルトcert-digest-algoをに変更することSHA256です。デフォルトでは、gnupgはデフォルトでSHA1

この問題を修正した後、次の警告は署名が「弱いダイジェストアルゴリズム（SHA1）を使用する」ことであり、修正するdigest-algoためSHA256に同様に設定できます。

これらの値gpg.confは、リポジトリが使用しているリポジトリサーバーに保存されます。

ショートハンドは追加することです

cert-digest-algo SHA256
digest-algo SHA256

あなたの~/.gnupg/gpg.confファイルに。

私たちのプロジェクトはここで発券されており、展開メカニズムのためにそれを修正する方法の例があるはずです。

— タリー
ソース

4

このエラーを回避するには、リポジトリを削除できます。

リポジトリを削除すると、Chromeが重要なセキュリティアップデートを含むアップデートを取得できなくなることに注意してください！
これにより、ブラウザは時間の経過とともに増加する脅威に対して脆弱になります。

リポジトリを完全に削除または無効にする場合は、Chromeをアンインストールして、オープンソースの亜種などの別のブラウザに移動することを検討してくださいchromium。

_{このメモはByteCommanderによって追加されました。}

最初にSoftware and Updatesダッシュで検索します。それを開いて、Other Softwareタブに切り替えます。

次のようなエントリを探します：

http://dl.google.com/linux/earth/deb/dists/stable/

削除します。

最後にAuthenticationタブに移動すると、「Google」に言及しているものがありますが、それも削除してください。

今すぐリポジトリを更新しようとするたびに、その迷惑なエラーメッセージの表示を停止する必要があります。

— ハイエット・マハムド
ソース

12

これにより、今後のGoogle Chromeの更新も停止しますが、これはおそらくOPが望んでいないことです。

— edwinksl

注：クロムppaは修正されました。

— starbeamrainbowlabs