以下签名无效:EXPKEYSIG 1397BC53640DB551
Leo*_*Leo 98 updates apt ppa google-chrome 18.04
这是问题 952287:[用户反馈 - 稳定] 由于 GPG 签名密钥过期,Linux 版 Chrome 无法安装/更新的报告
今天,apt在我所有的机器上运行时,谷歌 PPA 都会出现这个错误(对于google-chrome):
me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh
[sudo] password for me:
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)
Reading package lists... Done
Building dependency tree
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree
Reading state information... Done
All snaps up to date.
已经尝试再次导入 GPG 密钥:
wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
编辑:在西班牙语中添加错误行以获得更好的可见性:
Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
EDIT2:和法语(涵盖前 3 种语言):
Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
小智 68
这是您从这些检查中获得的保护。 您不想在 Google 端出现问题时立即更新您的软件。等他们修好了。在官方发布新密钥是解决方案之前,不要尝试通过重新安装密钥来覆盖。
- 等到他们修复它可能不是所有人的选择。例如,这正在破坏我们的 CI 管道。如果您现在正在做的事情,您可能会冒险并通过在其配置中添加 `[trusted=yes]` 来暂时禁用对该 repo 的检查:`deb [trusted=yes] http://dl.google.com /linux/chrome/deb/ 稳定主` (11认同)
- `trusted=yes` 违背了数字签名的全部目的,基本上损害了你的整个系统。您不应该轻率地这样做,特别是对于“临时解决方法”来说这不是一个好主意。 (6认同)
- 这不是第一次发生这种情况。我记得在过去的几年里,谷歌至少有 2 次出现同样的问题。我想知道 Google 发生了什么事,为什么他们不能把他们的东西放在一起。 (4认同)
- @jelhan 这就是为什么 CI 管道理想地利用本地镜像/缓存而不是直接进入上游的原因。 (4认同)
- @MichaelHärtl 我一直在看谷歌,精英管理似乎已经不流行了。 (3认同)
小智 34
显然谷歌没有延长签名证书的有效期……它应该在今天结束,所以它做到了。 https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796
也许谷歌会在今天左右改变它……然后证书的更新应该可以正常工作,一切都应该恢复正常。
ajc*_*jcg 15
该问题已由 Google Abr 12/2019 解决(仅限 Google Chrome。在 Ubuntu 18.04.x 中测试)
没什么可做的。存储库已经签名
2019 年 4 月 19 日更新:
Google 团队已确认已针对其他非 Chrome 谷歌产品进行了额外修复
来源:https : //support.google.com/chrome/thread/4032170
- 你在哪里报告的?谷歌仍然没有在某些其他存储库上修复它,例如音乐管理器,所以我也想报告一下。 (3认同)
看起来,正如 @DooMMasteR 所说, Google 让其Linux 存储库的签名证书过期,到期日期是4 月 12 日。@yareckon 解释说,此安全错误正在按预期工作,以防止安装签名错误的软件。apt
问题发布 9 小时后,Google 为使用 Google Chrome 存储库的用户透明地修复了证书。在他们更新证书后,错误就停止了,谷歌拥有的其他存储库也逐渐消失了(谷歌地球、谷歌音乐管理器......)也逐渐停止了。
用户端不需要(也不建议)采取任何操作,只需等待使用更新的密钥对正在使用的存储库进行签名即可。
| 归档时间: |
|
| 查看次数: |
45441 次 |
| 最近记录: |