Comment réparer apt: la signature par clé utilise un algorithme de résumé faible (SHA1)?

123

J'ai commencé à configurer en ajoutant des référentiels, puis je suis revenu à exécuter sudo apt-get update avant de commencer à installer d’autres logiciels, et j’obtiens les lignes de touches Signature qui s’arrêtent. Donc, cela ne me laissera essentiellement pas mettre à jour les paquets maintenant.

[email protected]:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
[email protected]:~/Downloads$

Je n'ai jamais vu ça avant chaque fois que je configure et que je commence à installer des choses dans Ubuntu. Y a-t-il autre chose que je peux faire?

    
posée dlchang 22.04.2016 - 21:43
la source

4 réponses

63

Le problème avec la source Google est à la fin de Google, mais apt-get signale simplement le problème comme un avertissement. Ce problème ne vous empêche pas de mettre à niveau les packages.

Vous utilisez apt-get et ce que vous voyez est le comportement normal après avoir exécuté update : il effectue la mise à jour mais ne fournit pas d'informations supplémentaires.

Vous devez suivre sudo apt-get update avec sudo apt-get upgrade pour voir si des mises à niveau de paquet sont disponibles.

Le sudo apt update plus récent (notez qu'il ne s'agit que de apt ) fournit des informations sur les résultats.

En utilisant apt , vous verrez soit un message

All packages are up to date

ou

The following packages will be upgraded:

Voir aussi apt list --upgradeable .

    
réponse donnée chaskes 25.04.2016 - 05:55
la source
32

Debian et Ubuntu imposent des entrées SHA256 ou supérieures dans les fichiers Release et / ou Packages depuis mars . Les référentiels manquant ces derniers doivent être corrigés par leurs propriétaires.

Il existe un aperçu des référentiels cassés dans le wiki Debian.

    
réponse donnée webwurst 03.05.2016 - 00:08
la source
16

Comme @chaskes dit que c'est un problème avec le référentiel, pas avec votre ordinateur.

@webwurst a de bons liens avec le problème sous-jacent. Il existe également une clarification des signatures.

Si vous hébergez un référentiel contenant ces erreurs. La solution consiste à changer le cert-digest-algo par défaut pour qu'il soit SHA256 . Par défaut, gnupg utilise par défaut SHA1

Après avoir corrigé ce problème, le prochain avertissement sera que la signature "utilise un algorithme de résumé faible (SHA1)" Et pour corriger cela, vous pouvez également définir digest-algo à SHA256 .

Ces valeurs vont sur le serveur de référentiel dans le gpg.conf que le référentiel utilise.

L’aiguille consiste à ajouter

cert-digest-algo SHA256
digest-algo SHA256

dans votre fichier ~/.gnupg/gpg.conf .

Notre projet a reçu un ticket ici qui devrait avoir un exemple de la manière de le réparer pour notre déploiement. mécanisme.

    
réponse donnée Tully 24.05.2016 - 00:33
la source
5

Pour éviter cette erreur, vous pouvez supprimer le référentiel.

  

Veuillez noter que la suppression du référentiel empêchera Chrome d’obtenir des mises à jour , y compris des mises à jour de sécurité importantes!

  Cela va rendre votre navigateur vulnérable à un nombre croissant de menaces au fil du temps!

     

Si vous voulez vraiment supprimer ou désactiver entièrement le référentiel, vous devriez envisager de désinstaller Chrome et de passer à un autre navigateur, comme sa variante open source chromium .

     

Cette note a été ajoutée par ByteCommander .

À la première recherche sur Software et Updates dans le Dash. Ouvrez-le et accédez à l'onglet Other Software .

Là, cherchez une entrée comme celle-ci:

http://dl.google.com/linux/earth/deb/dists/stable/

et retirez-le.

Enfin, allez dans l'onglet Authentication et vous trouverez quelque chose mentionnant "Google", supprimez-le également.

Il devrait cesser de montrer ce message d'erreur agaçant chaque fois que vous essayez de mettre à jour vos référentiels maintenant.

    
réponse donnée Hayet Mahamud 14.06.2016 - 10:50
la source

Lire d'autres questions sur les étiquettes