Die folgenden Signaturen waren ungültig: EXPKEYSIG 1397BC53640DB551

90

Dies ist Ausgabe 952.287: [Benutzer - Feedback - Stabile] Berichte von Chrome für Linux Fehler / aufgrund abgelaufener GPG Signaturschlüssel - Update installieren

Wenn aptich heute auf allen meinen Computern laufe, tritt dieser Fehler mit dem Google PPA (für google-chrome) auf:

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Ich habe bereits versucht, den GPG-Schlüssel erneut zu importieren mit:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Quelle: Google Linux-Software-Repositorys

BEARBEITEN: Fehlerzeile in Spanisch hinzufügen für bessere Sichtbarkeit:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: und Französisch (für die drei wichtigsten Sprachen ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

— Löwe
quelle

11

Das ist mir auch passiert.

— Fred

8

Stimmen Sie diesem Link zu support.google.com/chrome/thread/4032170?hl=de und warten Sie! Mehr können wir nicht tun.

— Carlos Alberto Silveira de und

1

Ich habe oben im Beitrag einen Link zum Fehlerbericht hinzugefügt. Bitte zögern Sie nicht, es zu verschieben oder zu löschen.

— DK Bose,

4

Ich denke, es ist jetzt behoben

— Leo

1

Das ist mir heute, 8 Tage später, passiert und es passiert immer noch.

— Gregory Smitherman

64

Dies ist der Schutz, den Sie durch diese Überprüfungen erhalten. Sie möchten Ihre Software jetzt nicht aktualisieren, während Google Probleme hat. Warten Sie, bis sie es behoben haben. Versuchen Sie nicht, durch Neuinstallieren von Schlüsseln zu überschreiben, bis ein offizielles Wort herauskommt, dass ein neuer Schlüssel die Lösung ist.

— yareckon
quelle

9

Warten, bis sie es beheben, ist möglicherweise nicht für alle eine Option. Dies bricht zB die CI-Pipelines für uns. Wenn Sie jetzt das tun, was Sie tun, können Sie das Risiko [trusted=yes]deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main

— eingehen

4

Es ist nicht das erste Mal, dass dies passiert. Ich erinnere mich, dass ich in den letzten Jahren mindestens zwei weitere Male dasselbe Problem mit Google hatte. Ich frage mich, was bei Google los ist und warum sie ihre Sachen nicht zusammenhalten können.

— Michael Härtl

4

@jelhan Aus diesem Grund greifen CI-Pipelines idealerweise auf lokale Spiegel / Caches zu, anstatt direkt stromaufwärts zu gehen.

— Konrad Rudolph

2

@ MichaelHärtl Ich habe Google gesehen und Meritocracy scheint aus der Mode zu sein.

— DK Bose

6

trusted=yesBeeinträchtigt den gesamten Zweck der digitalen Signatur und gefährdet im Grunde Ihr gesamtes System. Sie sollten dies nicht leichtfertig tun, insbesondere nicht für eine "vorübergehende Problemumgehung".

— Kissgyorgy

33

Anscheinend hat Google die Gültigkeit des Signaturzertifikats nicht verlängert ... es sollte heute enden, und so war es auch. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

Vielleicht wird Google es heute ändern oder so ... dann sollte das Update des Zertifikats gut funktionieren und alles sollte zum Normalzustand zurückkehren.

— DooMMasteR
quelle

15

das problem wurde von google ab 12/2019 gelöst (nur google chrome. getestet in ubuntu 18.04.x)

Es gibt nichts zu tun. Das Repository wurde bereits signiert

Update 19. April 2013:

Das Google-Team hat bestätigt, dass zusätzliche Korrekturen für andere Nicht-Chrome-Google-Produkte vorgenommen wurden

Quelle: https://support.google.com/chrome/thread/4032170

— Ajcg
quelle

1

Wo hast du das gemeldet? Google hat es in bestimmten anderen Repositories, z. B. im Music Manager, noch nicht repariert, daher möchte ich das auch melden.

— Paddy Landau

9

Offenbar sind die Signaturschlüssel von Google abgelaufen. Seien Sie geduldig und warten Sie, bis sie repariert sind (möglicherweise muss der Schlüssel nach der Reparatur erneut hinzugefügt werden).

— paed808
quelle

1

Für alle, die nicht geduldig genug sind, damit Google das Zertifikat aktualisiert ...

Sie können dies mit den folgenden Schritten beheben:

Laden Sie Folgendes herunter: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(Chrom neue Version, Sie können es selbst durch googeln Chrom bekommen)

Schließen Sie Chrome.
Öffnen Sie "Software und Quellen" und wechseln Sie zur Registerkarte "Quellen"
Entfernen Sie die Google-Quelle (geben Sie Ihr Passwort ein) (oder deaktivieren Sie sie, wenn Sie sie später wieder aktivieren möchten) und schließen Sie das Fenster
Erlauben Sie "Software and Sources", Quellen neu zu laden
Gehe ins Software Center, gehe zu "Installed"
Suchen Sie Chrome und deinstallieren Sie es.
Schließen Sie Software und Quellen
Öffnen Sie ein Terminal und geben Sie Folgendes ein:

sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y
Schließen Sie das Terminal, wechseln Sie in Ihren Download-Ordner und doppelklicken Sie auf die Datei "google-chrome-stable_current_amd64.deb" (dadurch wird das Software Center geöffnet).
Klicken Sie auf Installieren

Sie können Chrome jetzt wieder öffnen. Alle Tabs und gespeicherten Passwörter sind noch vorhanden.

— Tatsu
quelle

@CarlosAlbertoSilveiradeAnd sagte: "Großartig !!, arbeite für mich! Danke!", Aber als Änderung für meinen Beitrag, da er noch nicht weiß, wie man diese Site verwendet .... Ich füge sie hinzu, damit die Leute wissen, dass sie für jemanden funktioniert hat.

— Tatsu

1

15. April, und ich erhalte immer noch diesen Fehler in den Repositorys von Google Earth und Music Manager. Sie nehmen sich sicher ihre süße Zeit damit.

— MikeF
quelle

0

Das tust du nicht. Sie müssen warten, bis Google die Schlüssel erneuert und ein Update durchgeführt hat.

Die wichtige Botschaft lautet:

Die folgenden Signaturen waren ungültig: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority)

Dies bedeutet, dass die kryptografische Signatur ungültig ist. Die Ursache hierfür kann ein Angriff, eine Fehlkonfiguration oder ein anderes technisches Problem sein. Das Erzwingen der Aktualisierung Ihres Systems führt dazu, dass eine nicht überprüfte Version Ihres Webbrowsers ausgeführt wird, was Sie vielen Sicherheitsproblemen aussetzen kann.

Quelle

— sxn
quelle

0

Google muss dort den GPG-Schlüssel aktualisieren. Sie können die Deb-Quelle jedoch als vertrauenswürdig markieren, bis Google ihren Schlüssel erneuert:

cd /var/lib/apt/lists
sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg
Fügen Sie trusted=yesin Ihrer Datei /etc/apt/sources.list.d/google-chrome.list Folgendes hinzu :deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
apt clean
apt update

Es wird weiterhin ein ungültiger GPG-Fehler angezeigt, den Sie jedoch vorerst ignorieren können.

HINWEIS : Seien Sie vorsichtig, da dies in nicht vertrauenswürdigen Netzwerken zu Sicherheitsproblemen führen kann, wenn im deb-Quelllink kein https verwendet wird.

BEARBEITEN: GPG-Warnung wird nicht mehr angezeigt. Google hat ihren Schlüssel erneuert. Wenn Sie die obige Lösung befolgt haben, entfernen Sie einfach das trusted=yesTeil und dann apt clean& schließlich apt update. Sie sollten keinen Fehler mehr sehen: D

— Dimitris Moraitidis
quelle

2

Mach das nicht. Wenn aus keinem anderen Grund als der Quelle unverschlüsselt. Wenn Sie dies tun, alles vergessen und dann in ein fehlerhaftes Netzwerk geraten, könnte es das Release "packages.list" leicht abfangen und untergraben und daher im Wesentlichen alles ausführen, was es als root auf Ihrem Computer mochte. Das ist keine gute Idee.

— Oli

2

Du hast meinen Standpunkt verfehlt. Wenn jemand Ihren Netzwerkverkehr abfängt, kann er sich als Google ausgeben. Bei einer http: // -Verbindung ist kein TLS vorhanden. Normalerweise hat Apt Ihren Rücken hier, weil sie prüfen, ob alle Release- und Paketlisten signiert sind. Wenn Sie dies normal abfangen und böswillig etwas ändern, wird ein Signaturfehler angezeigt. Sie umgehen diesen ganzen Mechanismus hier.

— Oli

1

Tatsächlich. Vielen Dank für die Erklärung

— Dimitris Moraitidis

2

Einverstanden, aber Sie können es vorübergehend einfach zu https mit trusted = yes machen (vorausgesetzt, Sie sind nicht TLS MiTM). Zum Beispiel:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

— link_boy

1

Auch in der Tat. Also denke ich, dass ich bei meiner letzten Bearbeitung mindestens auf 0 anstatt auf -2 zurückgehen sollte: P

— Dimitris Moraitidis

0

Wie @DooMMasteR sagte, ließ Google das Signaturzertifikat für seine Linux-Repositorys ablaufen. Das Fälligkeitsdatum war der 12. April . @yareckon erklärte, dass dieser aptSicherheitsfehler wie erwartet funktioniert, um zu verhindern , dass falsch signierte Software installiert wird.

9 Stunden nach Veröffentlichung des Problems hat Google Zertifikate für die Nutzer von Google Chrome Repo transparent repariert . Der Fehler hörte auf, nachdem sie die Zertifikate erneuert hatten, nach und nach auch auf den übrigen Repos von Google (Google Earth, Google Music Manager ...).

Es ist keine Aktion seitens der Benutzer erforderlich (und wird empfohlen), nur darauf zu warten, dass die verwendeten Repos mit erneuerten Schlüsseln signiert werden.

— Löwe
quelle