Вопрос или проблема
Сегодня запуск apt
на всех моих машинах вызывает эту ошибку с Google PPA (для google-chrome
):
me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh
[sudo] password for me:
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
Следующие подписи были недействительны: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)
Reading package lists... Done
Building dependency tree
Reading state information... Done
Все пакеты в актуальном состоянии.
W: Ошибка произошла во время проверки подписи. Репозиторий не обновлен, и будут использоваться предыдущие файлы индекса. Ошибка GPG: http://dl.google.com/linux/chrome/deb stable Release: Следующие подписи были недействительны: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
W: Не удалось получить http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg Следующие подписи были недействительны: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
W: Некоторые файлы индекса не удалось загрузить. Они были проигнорированы или вместо них использовались старые версии.
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove и 0 not upgraded.
Reading package lists... Done
Building dependency tree
Reading state information... Done
Все snap-пакеты обновлены.
Уже пробовал снова импортировать ключ GPG с помощью:
wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -
Источник: Google Linux Software Repositories
РЕДАКТИРОВАТЬ: добавить строку ошибки на испанском для лучшей видимости:
Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
РЕДАКТИРОВАНИЕ2: и на французском (чтобы охватить три основных языка):
Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
Это защита, которую вы получаете от этих проверок. Вы не хотите обновлять свое программное обеспечение прямо сейчас, пока что-то не в порядке на стороне Google. Подождите, пока они не исправят это. Не пытайтесь переустановить ключи, пока не появится официальное заявление о том, что новый ключ является решением.
Похоже, что Google не продлил срок действия сертификата подписи…
он должен был закончиться сегодня, и так и произошло.
https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796
может быть, Google изменит его, сегодня или около того… затем обновление сертификата должно пройти нормально, и все должно вернуться в норму.
проблема была решена Google 12 апреля 2019 г. (Только Google Chrome. Протестировано на Ubuntu 18.04.x)
Ничего не нужно делать. Репозиторий уже подписан.
Обновление 19 апреля 2019 г.:
Команда Google подтвердила, что дополнительные исправления были выпущены для других продуктов Google, не связанных с Chrome
Похоже, что срок действия ключей подписи Google истек. Будьте терпеливы и дождитесь их исправления (что может или не потребует повторного добавления ключа после его исправления).
Похоже, как сказал @DooMMasteR, Google позволил истечь сроку действия сертификата подписи для своих репозиториев Linux, и он наступил 12 апреля. @yareckon объяснил, что эта ошибка безопасности apt
работает как и ожидалось, чтобы предотвратить установку плохо подписанного программного обеспечения.
9 часов спустя после публикации проблемы Google исправил сертификаты прозрачно для пользователей, использующих репозиторий Google Chrome. Ошибка исчезла послe обновления сертификатов, постепенно также на остальных репозиториях, принадлежащих Google (Google Earth, Google Music Manager…).
Со стороны пользователей не требуется никакого действия (и это рекомендуется), просто ждите, пока репозитории, которые вы используете, будут подписаны обновленными ключами.
Для тех, кто недостаточно терпелив, чтобы дождаться обновления сертификата от Google…
вы можете исправить это, следуя следующим шагам :
(новая версия Chrome, вы можете найти ее, погуглив chrome)
- Закройте Chrome.
- Откройте “Программное обеспечение и источники”, перейдите на вкладку “Источники”.
- Удалите (или отключите, если хотите включить его позже) источник Google (введите свой пароль) и закройте окно.
- Позвольте “Программному обеспечению и источникам” перезагрузить источники.
- Перейдите в Центр программного обеспечения, перейдите в “Установлено”.
- Найдите Chrome, удалите его.
- Закройте программное обеспечение и источники.
-
Откройте терминал и введите:
sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y
-
Закройте терминал и перейдите в папку загрузок, дважды щелкните файл “google-chrome-stable_current_amd64.deb” (это откроет Центр программного обеспечения).
- Нажмите Установить.
теперь вы можете снова открыть Chrome. Все ваши вкладки и сохраненные пароли и т.д. на месте.
Не стоит. Вам нужно дождаться, пока Google обновит свои ключи и выпустит обновление.
Важное сообщение:
Следующие подписи были недействительны: EXPKEYSIG 1397BC53640DB551
Google Inc. (Linux Packages Signing Authority)
Это означает, что криптографическая подпись недействительна. Источником этого может быть атака, неправильная конфигурация или другой вид технической проблемы. Принудительное обновление вашей системы приведет к запуску неподтвержденной версии вашего веб-браузера, что может подвергнуть вас множеству проблем с безопасностью.
Google нужно обновить свой ключ GPG. Однако вы можете пометить исходный deb-источник как доверенный, пока Google не обновит свой ключ:
cd /var/lib/apt/lists
-
sudo rm \
dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \
dl.google.com_linux_chrome_deb_dists_stable_Release \
dl.google.com_linux_chrome_deb_dists_stable_Release.gpg -
добавьте
trusted=yes
в ваш файл /etc/apt/sources.list.d/google-chrome.list, чтобы он выглядел так:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
-
apt clean
-
apt update
Вы все еще будете получать ошибку недействительного GPG, но сейчас вы можете игнорировать ее.
ПРИМЕЧАНИЕ: Будьте осторожны, это может привести к проблемам с безопасностью в недоверенных сетях, когда https не используется в ссылке на deb-источник.
РЕДАКТИРОВАТЬ: Предупреждение GPG больше не появляется. Google обновил свой ключ. Если вы следовали вышеуказанному решению, просто удалите часть trusted=yes
, затем apt clean
и, наконец, apt update
. Вы больше не должны видеть никакой ошибки 😀
.
Ответ или решение
Теория
Проблема, представленная в сообщении, связана с ошибкой обновления пакета Google Chrome
в операционной системе Linux. Основная ошибка заключается в том, что цифровая подпись, подтверждающая подлинность пакетов, истекла. Это означает, что система безопасности не может проверить, что загружаемый пакет действительно был подписан и выпущен доверенным источником — компанией Google. Эта проблема вызывает ошибку EXPKEYSIG 1397BC53640DB551
. Чтобы исправить ситуацию, Google должен обновить GPG-ключ, используемый для подписи пакетов.
Пример
Каждая система управления пакетами в Linux использует механизм проверок цифровых подписей, чтобы удостовериться, что загружаемые пакеты подходят для установки. Приватный ключ используется для подписания пакетов, а публичный ключ — для проверки этой подписи. Если публичный ключ устарел или недействителен, возникают ошибки, подобные EXPKEYSIG
, предупреждающие пользователей о том, что невозможно проверить подлинность выгружаемого программного обеспечения. Это предотвращает установку ненадежного или компрометированного ПО.
В конкретном случае с Google Chrome
истечение срока действия GPG-ключа Google означает, что все менеджеры пакетов apt
, полагающиеся на эту подпись, не могут подтвердить подлинность пакетов от Google. Сообщения об ошибках и подобные сбои подключения указывают пользователям, что им следует ждать обновления ключей от Google, прежде чем продолжать обновление программного обеспечения.
Применение
Основное предложение для пользователей — не предпринимать никаких поспешных действий, таких как ручная перезагрузка ключей или редактирование файлов конфигурации (например, добавление опции trusted=yes
), поскольку это может привести к серьезным рискам безопасности. Следует понимать, что такие ошибки являются частью системы защиты и сигнализируют о возможно несанкционированном изменении или проблемах с инфраструктурой поставщика.
До официального разрешения проблемы пользователю предлагается:
- Дождаться официального заявления от Google о выпуске нового GPG-ключа.
- Проверить наличие обновленной информации на официальных ресурсах, таких как сайты поддержки Google или профильные форумы.
- После обновления ключа выполнить команды
sudo apt clean && sudo apt update
для обновления репозиториев и выгрузки новых пакетов с исправленной подписью.
Как было отмечено ранее, спустя несколько часов после возникновения проблемы, Google обновил сертификаты для пользователей Google Chrome
, и ошибка перестала возникать. Это подтвердило, что правильным действием было ожидание устранения проблемы на стороне Google. Для других репозиториев, принадлежащих Google, исправления могут потребовать несколько больше времени.
Таким образом, данная ситуация подчеркивает важность криптостойкости и надежности системы обновлений в операционных системах с открытым кодом, таких как Linux. Важно не пытаться обойти эти механизмы, так как это может подорвать общую безопасность системы.