apt 수정 방법 : 키별 서명은 약한 다이제스트 알고리즘 (SHA1)을 사용합니까?

129

리포지토리를 추가하여 설정을 시작한 다음 sudo apt-get update다른 소프트웨어를 설치하기 전에 다시 실행 한 다음 Signature 키 라인을 가져와 중지합니다. 따라서 기본적으로 패키지를 업데이트 할 수 없습니다.

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

우분투에서 설치하고 설치할 때마다 이것을 본 적이 없습니다. 내가 할 수있는 다른 일이 있습니까?

apt

— dlchang
소스

2

똑같은 문제가 있습니다. Google 측에서만 수정되거나 "약한 보안 알고리즘"을 사용하여 리포지토리의 업데이트를 확인할 수 있다고 생각하지만 보안 위험이 어떻게 될지 모르겠습니다. 이 블로그 에서 언급 한 바와 같이 , 데비안의 불안정한 소스에서의 이동은 불안정했으며 Canonical은 다음과 같은 이유로 포함 시켰습니다. 그런데, 런치 패드 [여기] (제기 버그가 bugs.launchpad.net/ubuntu

— Erwinstein

구글뿐만 아니라 삼성 드라이버와 버추얼 박스에도 같은 문제가 있습니다.

— ionreflex

1

임시 해결 방법으로 거의 모든 의도와 목적을 위해 대부분 동일한 크롬 브라우저를 시도하고 설치할 수 있습니다. 정식 저장소에서 제공 되므로이 문제가 없어야합니다.

— arielf

Chrome 리포지토리 관련 문제를 해결하기 위해 Google에 다시보고 할 적절한 장소는 어디입니까?

— orschiro

@arielf Ya, 나는 포럼에서 검색 할 수있는 유일한 것으로 보입니다 .Google에서 수정을 기다리는 동안 그렇게했습니다.

— dlchang

63

Google 소스의 문제는 Google의 최종 단계이지만 apt-get문제를 경고로보고합니다. 이 문제는 패키지 업그레이드를 중단시키지 않습니다.

사용 apt-get하고 있고보고있는 것은 실행 후 정상적인 동작입니다 update. 업데이트를 수행하지만 추가 정보는 제공하지 않습니다.

당신은 따를 필요 sudo apt-get update로 sudo apt-get upgrade하는 패키지 업그레이드를 사용할 수 있는지 확인합니다.

최신 버전 sudo apt update(공지 사항 apt)은 결과에 대한 피드백을 제공합니다.

를 사용 apt하면 다음과 같은 메시지가 나타납니다.

All packages are up to date

또는

The following packages will be upgraded:

도 참조하십시오 apt list --upgradeable.

— 차체
소스

1

오, 나는 새로운 것에 대해 몰랐어요 sudo apt update. 감사합니다. 그리고 나는 그것이 전혀 작동하지 않는다고 생각한 것 같습니다. 마지막 줄이 서명 줄이었고 그 후에 막 멈 췄기 때문에 업데이트되지 않았다고 가정했습니다. 이것이 그 문제에 대한 경고 일 뿐이지 만 다른 업데이트를 방해하지 않고 계속됩니까?

— dlchang

1

@dlchang 맞습니다. :)

— chaskes

Chrome은 향후 10 년의 IE입니다. 어쨌든, "모든 패키지가 최신 상태입니다"라는 사실은 사실이 아닙니다 apt. 동일한 경고가 표시됩니다. Chrome은 지난 몇 달 동안 이와 같은 많은 문제를 겪었으며 놀라운 Linux 사용자도 그것을 사용합니다 (안타깝게도 webdev를 사용해야합니다).

— Todd

3

@Todd Google 저장소는 여전히 감가 상각되는 SHA1 키로 서명되므로 경고 메시지가 계속 표시됩니다. 그 이유는 SHA1이 충돌을 일으켜 유효 강도를 약화시켜 보안을 허용 할 수없는 정도로 약화 시켰기 때문입니다. 아이러니 한 크롬 자체를 포함한 브라우저가 SHA1을 사용하는 SSL 인증서에 대해 불평하는 이유도 마찬가지입니다. 유효 강도는 약 2 ^ 60-2 ^ 70 정도이므로 20+ TFLOPS GPU 컴퓨팅 머신을 충분히 고려할 때 충분하지 않습니다.

— MttJocy

apt당신이 설명하는대로 나를 위해 작동하지 않습니다. 7 개의 패키지를 업그레이드 할 수

— musiKk

32

데비안 및 우분투는 3 월 이후SHA256 릴리스 및 / 또는 패키지 파일에 더 높은 항목을 시행 합니다 . 누락 된 리포지토리는 소유자가 수정해야합니다.

데비안 위키 에는 깨진 저장소 에 대한 개요 가 있습니다 .

— webwurst
소스

19

@chaskes는 컴퓨터가 아닌 저장소에 문제가 있다고 말합니다.

@webwurst는 근본적인 문제와 잘 연결되어 있습니다. 서명에 대한 설명 도 있습니다 .

이러한 오류가 발생하는 저장소를 호스팅하는 경우 해결책은 기본값 cert-digest-algo을 로 변경하는 것 SHA256입니다. 기본적으로 gnupg는 기본적으로SHA1

이 문제를 해결 한 후 다음 경고는 "약한 다이제스트 알고리즘 (SHA1)를 사용하여"서명이 있다는 것입니다 그리고 당신은 설정할 수있는 해결 digest-algo에 SHA256뿐만 아니라.

이 값 gpg.conf은 저장소가 사용중인 저장소 서버에서 사용됩니다.

짧은 손은 추가하는 것입니다

cert-digest-algo SHA256
digest-algo SHA256

당신에 ~/.gnupg/gpg.conf파일.

우리의 프로젝트는 티켓이 여기에 우리의 배포 메커니즘을 해결하는 방법의 예를 가지고 있어야한다.

— 털리
소스

4

이 오류를 피하기 위해 저장소를 제거 할 수 있습니다.

리포지토리를 제거하면 중요한 보안 업데이트를 포함하여 Chrome에서 업데이트를받지 못하게 됩니다.
이를 통해 브라우저 는 시간이 지남에 따라 점점 더 많은 위협에 취약 해집니다!

리포지토리를 완전히 제거하거나 사용하지 않으려면 Chrome을 제거하고 오픈 소스 변형과 같은 다른 브라우저로 이동하는 것이 chromium좋습니다.

_{이 노트는 ByteCommander 에 의해 추가되었습니다 .}

처음 Software and Updates에는 대시에서 검색 하십시오. 그것을 열고 Other Software탭으로 전환 하십시오.

다음과 같은 항목을 찾으십시오.

http://dl.google.com/linux/earth/deb/dists/stable/

제거하십시오.

마지막으로 Authentication탭 으로 이동하면 "Google"이라는 문구가 표시됩니다.

지금 저장소를 업데이트하려고 할 때마다 성가신 오류 메시지가 표시되지 않아야합니다.

— 하이 에트 마하 무드
소스

12

이로 인해 향후 Chrome 업데이트가 중단 될 수 있습니다. 이는 아마도 OP가 원하지 않는 것입니다.

— edwinksl

참고 : 크롬 ppa가 수정되었습니다.

— starbeamrainbowlabs 5