As seguintes assinaturas eram inválidas: EXPKEYSIG 1397BC53640DB551

90

Este é o problema 952287: [Feedback do usuário - Estável] Relatórios do Chrome para Linux que não foram instalados / atualizados devido à chave de assinatura GPG expirada

Hoje, a execução aptem todas as minhas máquinas gera esse erro com o PPA do Google (para google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Já tentei importar a chave GPG novamente com:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Fonte: Repositórios de software do Google Linux

EDIT: adicione linha de erro em espanhol para melhor visibilidade:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2: e francês (para cobrir os três principais idiomas ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

— Leo
fonte

11

Apenas aconteceu comigo também.

— Fred

8

atualize este link support.google.com/chrome/thread/4032170?hl=en e aguarde! Não podemos fazer mais nada.

— Carlos Alberto Silveira de E

1

Adicionei um link para o relatório de erros na parte superior da postagem. Sinta-se à vontade para movê-lo ou excluí-lo.

— DK Bose

4

Eu acho que está corrigido agora

— Leo

1

Isso aconteceu comigo hoje, 8 dias depois e ainda está acontecendo.

— Gregory Smitherman 20/04

64

Essa é a proteção que você está recebendo dessas verificações. Você não deseja atualizar seu software agora, enquanto algo está errado no final do Google. Espere até eles consertarem. Não tente substituir reinstalando as chaves até que apareça alguma palavra oficial de que uma nova chave é a solução.

— yareckon
fonte

9

Esperar até que eles sejam corrigidos pode não ser uma opção para todos. Por exemplo, isso está quebrando os pipelines de CI para nós. Se você agora o que está fazendo, pode correr o risco e desabilitar as verificações deste repositório por enquanto, adicionando [trusted=yes]à sua configuração:deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main

— jelhan

4

Não é a primeira vez que isso acontece. Lembro-me de ter esse mesmo problema com o Google pelo menos mais duas vezes nos últimos anos. Eu me pergunto o que está acontecendo no Google e por que eles não conseguem manter suas coisas juntas.

— Michael Härtl

4

@jelhan É por isso que os pipelines da CI exploram idealmente os espelhos / caches locais em vez de ir diretamente para o upstream.

— Konrad Rudolph

2

@ MichaelHärtl Estive assistindo ao Google e a meritocracia parece estar fora de moda.

— DK Bose

6

trusted=yesderrota todo o propósito da assinatura digital e basicamente compromete todo o sistema. Você não deve fazer isso de ânimo leve, especialmente não uma boa idéia para uma "solução temporária".

— kissgyorgy 12/04

33

Aparentemente, o Google não estendeu a validade do certificado de assinatura ... deveria terminar hoje e assim foi. https://pgp.surfnet.nl/pks/lookup?op=vindex&fingerprint=on&search=0x7721F63BD38B4796

talvez o Google mude isso hoje, mais ou menos ... então a atualização do certificado deve funcionar bem e tudo deve voltar ao normal.

— DooMMasteR
fonte

15

o problema foi resolvido pelo Google Abr 12/2019 (Apenas Google Chrome. Testado no Ubuntu 18.04.x)

Não tem nada para fazer. O repositório já foi assinado

Atualização 19/04/2019:

A Equipe do Google confirmou que correções adicionais foram lançadas para outros produtos do Google que não são do Chrome

fonte: https://support.google.com/chrome/thread/4032170

— ajcg
fonte

1

Onde você denunciou isso? O Google ainda não o corrigiu em outros repositórios, por exemplo, o Gerenciador de Música, então eu gostaria de relatar isso também.

— Paddy Landau

9

Parece que as chaves de assinatura do Google expiraram. Seja paciente e espere que eles os consertem (o que pode ou não exigir que você adicione novamente a chave depois de consertá-la).

— paed808
fonte

1

Para quem não é paciente o suficiente para o google atualizar cert ...

você pode corrigir isso com as seguintes etapas:

Faça o download deste: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(nova versão do Chrome, você pode obtê-lo pesquisando no Google Chrome)

Feche o Chrome.
Abra "Software e fontes", vá para a guia "Fontes"
Remova (ou desative se desejar reativá-lo posteriormente) a fonte do Google (digite sua senha) e feche a janela
Permitir que "Software e fontes" recarregem fontes
Vá para o Software Center, vá para "Instalado"
Encontre o Chrome, desinstale-o.
Feche software e fontes
Abra um terminal, digite:

sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y
Feche o terminal e vá para a pasta de downloads e clique duas vezes no arquivo "google-chrome-stable_current_amd64.deb" (isso abrirá o Software Center)
Clique em Instalar

agora você pode abrir o backup do chrome. todas as suas guias e senhas salvas etc. ainda estão lá.

— tatsu
fonte

@CarlosAlbertoSilveiradeE disse: "Ótimo !!, trabalhe para mim! Obrigado", mas como uma edição no meu post, porque ele ainda não sabe como usar este site .... Estou adicionando para que as pessoas saibam que funcionou para alguém.

— tatsu 12/04

1

15 de abril, e ainda estou recebendo esse erro nos repositórios do Google Earth e do Music Manager. Eles com certeza estão se divertindo com isso.

— MikeF
fonte

0

Você não Você deve esperar o Google renovar suas chaves e obter uma atualização.

A mensagem importante é:

As seguintes assinaturas eram inválidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Autoridade de assinatura de pacotes do Linux)

Isso significa que a assinatura criptográfica é inválida. A fonte disso pode ser um ataque, uma configuração incorreta ou outro tipo de problema técnico. Forçar a atualização do seu sistema resultará na execução de uma versão não verificada do seu navegador da Web, o que poderá expô-lo a muitos problemas de segurança.

fonte

— sxn
fonte

0

O Google precisa atualizar a chave GPG. No entanto, você pode marcar a fonte deb como confiável, até que o Google renove sua chave:

cd /var/lib/apt/lists
sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg
adicione trusted=yesseu arquivo /etc/apt/sources.list.d/google-chrome.list para que fique assim:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
apt clean
apt update

Você ainda recebe um erro inválido no GPG, mas pode ignorá-lo por enquanto.

NOTA : Tenha cuidado, pois isso pode trazer problemas de segurança, em redes não confiáveis, quando nenhum https for usado no link de origem deb.

EDIT: o aviso GPG não aparece mais. O Google renovou sua chave. Se você seguiu a solução acima, remova a trusted=yespeça apt cleane finalmente apt update. Você não verá mais nenhum erro: D

— Dimitris Moraitidis
fonte

2

Não faça isso. Se não por outro motivo, a origem não está criptografada. Se você fizesse isso, esquecesse tudo e depois passasse para uma rede defeituosa, ele poderia facilmente interceptar e subverter o Release, packages.list e, portanto, executar essencialmente qualquer coisa que ele gostasse como root no seu computador. Não é uma boa ideia.

— Oli

2

Você perdeu o meu ponto. Se alguém puder interceptar o tráfego da sua rede, poderá fingir ser o Google. Não há TLS em uma conexão http: //. Normalmente, o Apt está de volta aqui, porque eles verificam se todas as listas de versões e pacotes estão assinadas. Se você interceptasse isso normalmente - e alterasse algo maliciosamente -, veria um erro de assinatura. Você está ignorando todo esse mecanismo aqui.

— Oli

1

De fato. Obrigado pela explicação

— Dimitris Moraitidis

2

Concordou, mas você pode temporariamente fazer https com confiável = yes (por enquanto, supondo que você não esteja sendo TLS MiTM). Por exemplo:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

— link_boy

1

Também de fato. Então eu acho que na minha edição recente, eu deveria pelo menos voltar para 0 em vez de -2: P

— Dimitris Moraitidis

0

Parece que, como disse @DooMMasteR, o Google deixou o certificado de assinatura expirar para seus repositórios Linux , cuja data de vencimento era 12 de abril . O @yareckon explicou que esse apterro de segurança está funcionando como esperado para impedir a instalação de software mal assinado.

9 horas após o lançamento do problema, o Google corrigia certs de forma transparente para os usuários que usam o repositório do Google Chrome . O erro foi interrompido após a renovação do certificado, progressivamente também nos demais repositórios de propriedade do Google (Google Earth, Google Music Manager ...).

Nenhuma ação é necessária (e recomendada) do lado dos usuários, apenas aguardando que os repositórios em uso sejam assinados com chaves renovadas.

— Leo
fonte