다음 서명이 유효하지 않습니다. EXPKEYSIG 1397BC53640DB551


90

이다 -으로 인해 만료 GPG 서명 키 / 업데이트를 설치하지 못한 Linux 용 크롬의 보고서 [안정적 사용자 피드백] : 문제 952287


오늘날 apt모든 컴퓨터에서 실행 하면 Google PPA ( google-chrome)에 다음 과 같은 오류가 발생합니다 .

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

이미 다음을 사용하여 GPG 키 가져 오기를 다시 시도했습니다.

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

출처 : Google Linux 소프트웨어 리포지토리

편집 : 더 나은 가시성을 위해 스페인어로 오류 줄을 추가하십시오.

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2 : 및 프랑스어 ( 상위 3 개 언어 포함 ) :

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
그것은 나에게도 일어났다.
프레드

8
이 링크 support.google.com/chrome/thread/4032170?hl=ko를 찬성 하고 기다리십시오! 우리는 더 이상 할 수 없습니다.
Carlos Alberto Silveira de 그리고

1
게시물 상단에 버그 보고서에 대한 링크를 추가했습니다. 자유롭게 이동하거나 삭제하십시오.
DK Bose

4
나는 그것이 지금 수정되었다고 생각한다
Leo

1
이것은 8 일 후에 오늘 나에게 일어 났으며 여전히 일어나고 있습니다.
Gregory Smitherman

답변:


64

이것이 당신이이 검사로부터 얻는 보호입니다. Google 측에서 문제가 발생하는 동안 지금 소프트웨어를 업데이트하고 싶지 않습니다. 그들이 고칠 때까지 기다리십시오. 새로운 단어가 해결책이라는 공식적인 단어가 나올 때까지 키를 다시 설치하여 재정의하지 마십시오.


9
그들이 고칠 때까지 기다리는 것은 모든 옵션이 아닐 수도 있습니다. 예를 들어 이것은 우리에게 CI 파이프 라인을 깨뜨리고 있습니다. 지금하고있는 일을하고 있다면, 해당 [trusted=yes]구성 에 추가하여이 저장소에 대한 위험을 감수하고 검사를 비활성화 할 수 있습니다 .deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
jelhan

4
이런 일이 처음은 아닙니다. 지난 몇 년 동안 Google과 동일한 문제가 2 번 이상 기억됩니다. Google에서 무슨 일이 일어나고 있는지, 왜 그들이 함께 물건을 보관할 수 없는지 궁금합니다.
Michael Härtl

4
@jelhan 이것이 바로 CI 파이프 라인이 직접 업스트림이 아닌 로컬 미러 / 캐시를 활용하는 이유입니다.
Konrad Rudolph

2
@ MichaelHärtl 나는 구글을보고 있었고 메리 토크는 유행을 벗어난 것 같다.
DK Bose

6
trusted=yes디지털 서명의 전체 목적을 상실하고 기본적으로 전체 시스템을 손상시킵니다. 가볍게, 특히 "임시 해결 방법"에 대한 좋은 아이디어가 아니어야합니다.
kissgyorgy


15

이 문제는 Google Abr 12/2019에서 해결되었습니다 (Google Chrome 만. 우분투 18.04.x에서 테스트 됨)

여기에 이미지 설명을 입력하십시오 할 일이 없습니다. 저장소가 이미 서명되었습니다

2019 년 4 월 19 일 업데이트 :

여기에 이미지 설명을 입력하십시오

Google 팀 에서 Chrome 이외의 다른 Google 제품에 대한 추가 수정 사항이 제공되었음을 확인했습니다

출처 : https://support.google.com/chrome/thread/4032170


1
어디서보고 했습니까? Google은 여전히 ​​뮤직 매니저와 같은 다른 특정 리포지토리에서이 문제를 해결하지 않았으므로보고하고 싶습니다.
패디 랜도

9

Google의 서명 키가 만료 된 것 같습니다. 인내심을 갖고 고정시킬 때까지 기다립니다 (고정 후 키를 다시 추가해야 할 수도 있고 필요하지 않을 수도 있음).


1

구글이 인증서를 업데이트 할만 큼 환자가 아닌 경우 ...

다음 단계로이 문제를 해결할 수 있습니다.

  1. 다운로드 : https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(크롬 새 버전, 인터넷 검색으로 직접 얻을 수 있습니다)

  1. Chrome을 닫습니다.
  2. "소프트웨어 및 소스"를 열고 "소스"탭으로 이동하십시오.
  3. Google 소스를 제거 (나중에 다시 활성화하려면 비활성화)하고 비밀번호를 입력하고 창을 닫습니다.
  4. "소프트웨어 및 소스"가 소스를 다시로드하도록 허용
  5. 소프트웨어 센터로 이동하여 "설치됨"으로 이동하십시오.
  6. Chrome을 찾아서 제거합니다.
  7. 폐쇄 소프트웨어 및 소스
  8. 터미널을 열고 다음을 입력하십시오.

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. 터미널을 닫고 다운로드 폴더로 이동하여 "google-chrome-stable_current_amd64.deb"파일을 두 번 클릭하십시오 (소프트웨어 센터가 열립니다).

  10. 설치를 클릭하십시오

이제 크롬 백업을 열 수 있습니다. 모든 탭과 저장된 비밀번호는 여전히 존재합니다.


@CarlosAlbertoSilveirade 그리고 "좋아요, 저를 위해 일하십시오! 고마워요"라고 말했지만 그는이 사이트를 사용하는 방법을 아직 모르기 때문에 내 게시물의 편집으로 .... 사람들이 누군가를 위해 일했다는 것을 알기 위해 그것을 추가하고 있습니다.
tatsu

1

4 월 15 일인데 Google 어스 및 뮤직 매니저 리포지토리에서이 오류가 계속 발생합니다. 그들은 이것으로 그들의 달콤한 시간을 보내고 있습니다.


0

당신은하지 않습니다. Google이 키를 갱신하고 업데이트 할 때까지 기다려야합니다.

중요한 메시지는 다음과 같습니다.

다음 서명이 유효하지 않습니다. EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Linux 패키지 서명 기관)

암호화 서명이 유효하지 않음을 의미합니다. 이 원인은 공격, 구성 오류 또는 기타 종류의 기술적 문제 일 수 있습니다. 시스템을 강제로 업데이트하면 확인되지 않은 버전의 웹 브라우저가 실행되어 많은 보안 문제가 발생할 수 있습니다.

출처


0

Google은 GPG 키를 업데이트해야합니다. 그러나 Google이 키를 갱신 할 때까지 deb 소스를 신뢰할 수있는 것으로 표시 할 수 있습니다.

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. 추가 trusted=yes귀하의 /etc/apt/sources.list.d/google-chrome.list 가 같이하는 파일 :deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

여전히 잘못된 GPG 오류가 발생하지만 지금은 무시할 수 있습니다.

참고 : deb 소스 링크에 https가 사용되지 않으면 신뢰할 수없는 네트워크에서 보안 문제가 발생할 수 있으므로주의하십시오.

편집 : GPG 경고가 더 이상 나타나지 않습니다. 구글은 그들의 키를 갱신했다. 위의 해결 방법을 따른 경우 trusted=yes부품을 제거한 다음 apt clean& 마지막으로 apt update. 더 이상 오류가 표시되지 않습니다 : D


2
이러지 마 다른 이유로 소스가 암호화되지 않은 경우. 이렇게하면 모든 정보를 잊어 버린 다음 나쁜 네트워크에 빠질 수 있습니다. releases, packages.list를 쉽게 가로 채서 컴퓨터에서 루트로 좋아 하는 모든 것을 실행할 수 있습니다. 좋은 생각이 아닙니다.
Oli

2
내 요점을 놓쳤다. 누군가 네트워크 트래픽을 가로 챌 수있는 경우 Google 인 것처럼 가장 할 수 있습니다. http : // 연결에는 TLS가 없습니다. 일반적으로 Apt는 모든 릴리스 및 패키지 목록이 서명되어 있는지 확인하기 때문에 다시 돌아옵니다. 이것을 정상적으로 가로 채고 악의적으로 변경 한 경우 서명 오류가 표시됩니다. 여기서 전체 메커니즘을 무시하고 있습니다.
Oli

1
과연. 설명 주셔서 감사합니다
Dimitris Moraitidis

2
동의하지만 trusted = yes로 일시적으로 https 로 만들 수 있습니다 (현재로서는 TLS MiTM이 아니라고 가정). 예를 들면 :deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
또한 실제로. P : 그래서 나는 내 최근 편집, 나는 적어도 0 대신 -2로 돌아 가야한다 생각
디미트리 Moraitidis

0

@DooMMasteR이 말했듯이 Google은 Linux 저장소에 대한 서명 인증서가 만료 될 예정 이며 4 월 12 일이 마감 되었습니다 . @yareckon apt은 서명이 잘못 된 소프트웨어가 설치되지 않도록 이 보안 오류가 예상대로 작동 한다고 설명했습니다 .

문제가 게시 된 지 9 시간 후에 Google은 Chrome 저장소를 사용하는 사용자를 위해 투명하게 인증서를 수정했습니다 . 인증서를 갱신 한 후 Google 소유의 나머지 리포지토리 (Google 어스, Google 뮤직 매니저 ...) 에서도 오류가 중지되었습니다 .

사용중인 리포지토리가 갱신 된 키로 서명되기를 기다리는 동안 사용자 측에서 조치가 필요하지 않고 권장됩니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.