Las siguientes firmas no eran válidas: EXPKEYSIG 1397BC53640DB551

90

Este es el problema 952287: [Comentarios del usuario - Estable] Informes de Chrome para Linux que no se puede instalar / actualizar debido a la clave de firma GPG caducada


Hoy, ejecutar apten todas mis máquinas da este error con el PPA de Google (para google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

Ya intenté importar la clave GPG nuevamente con:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

Fuente: repositorios de software de Google Linux

EDITAR: agregue una línea de error en español para una mejor visibilidad:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>

EDIT2: y francés (para cubrir los 3 idiomas principales ):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <[email protected]>

León
fuente
11
También me pasó a mí también.
Fred
8
upvote este enlace support.google.com/chrome/thread/4032170?hl=es y espera! No podemos hacer nada más.
Carlos Alberto Silveira de y
1
He agregado un enlace al informe de error en la parte superior de la publicación. No dude en moverlo o eliminarlo.
DK Bose
44
Creo que ya está arreglado
Leo
1
Esto me sucedió hoy, 8 días después y todavía está sucediendo.
Gregory Smitherman

Respuestas:

64

Esta es la protección que obtiene de estos controles. No desea actualizar su software en este momento mientras algo está en mal estado al final de Google. Espera hasta que lo arreglen. No intente anular reinstalando claves hasta que salga una palabra oficial de que una nueva clave es la solución.

Yareckon
fuente
99
Esperar hasta que lo arreglen puede no ser una opción para todos. Por ejemplo, esto está rompiendo las tuberías de CI para nosotros. Si ahora [trusted=yes]deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
sabe
44
No es la primera vez que esto sucede. Recuerdo haber tenido este mismo problema con Google al menos 2 veces más en los últimos años. Me pregunto qué está pasando en Google y por qué no pueden mantener sus cosas juntas.
Michael Härtl
44
@jelhan Es por eso que las tuberías de CI idealmente aprovechan los espejos / cachés locales en lugar de ir directamente hacia arriba.
Konrad Rudolph
2
@ MichaelHärtl He estado viendo Google y la meritocracia parece estar fuera de moda.
DK Bose
66
trusted=yesderrota todo el propósito de la firma digital y básicamente compromete todo su sistema. No debe hacer eso a la ligera, especialmente no es una buena idea para una "solución temporal".
kissgyorgy
15

el problema fue resuelto por Google Abr 12/2019 (solo Google Chrome. Probado en Ubuntu 18.04.x)

ingrese la descripción de la imagen aquí No hay nada que hacer. El repositorio ya ha sido firmado

Actualización abr 19/2019:

ingrese la descripción de la imagen aquí

El equipo de Google ha confirmado que se han publicado soluciones adicionales para otros productos de Google que no son Chrome

fuente: https://support.google.com/chrome/thread/4032170

ajcg
fuente
1
¿Dónde reportaste eso? Google todavía no lo ha arreglado en ciertos otros repositorios, por ejemplo, Music Manager, por lo que me gustaría informarlo también.
Paddy Landau
9

Parece que las claves de firma de Google caducaron. Sea paciente y espere a que los arreglen (lo que puede requerir o no volver a agregar la clave después de que la arreglaron).

paed808
fuente
1

Para cualquier persona que no sea lo suficientemente paciente como para que Google actualice el certificado ...

Puedes arreglar esto con los siguientes pasos:

  1. Descargue esto: https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(Nueva versión de Chrome, puede obtenerla usted mismo buscando en Google Chrome)

  1. Cierra Chrome.
  2. Abra "Software y fuentes", vaya a la pestaña "Fuentes"
  3. Elimine (o deshabilite si desea volver a habilitarlo más adelante) la fuente de Google (escriba su contraseña) y cierre la ventana
  4. Permitir que "Software y fuentes" recargue fuentes
  5. Vaya al Centro de software, vaya a "Instalado"
  6. Encuentra Chrome, desinstálalo.
  7. Cerrar software y fuentes
  8. Abra una terminal, escriba:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. Cierre el terminal y vaya a su carpeta de descargas y haga doble clic en el archivo "google-chrome-stable_current_amd64.deb" (esto abrirá el Centro de software)

  10. Haga clic en instalar

Ahora puede abrir Chrome de nuevo. todas tus pestañas y contraseñas guardadas ect todavía están allí.

tatsu
fuente
@CarlosAlbertoSilveiradeY dijo "¡Genial! ¡Trabaja para mí! Gracias", pero como una edición de mi publicación porque todavía no sabe cómo usar este sitio ... Lo estoy agregando para que la gente sepa que funcionó para alguien.
Tatsu
1

15 de abril, y sigo recibiendo este error con los repositorios de Google Earth y Music Manager. Seguro que se están tomando su tiempo dulce con esto.

MikeF
fuente
0

Usted no Debe esperar a que Google renueve sus claves y una actualización.

El mensaje importante es:

Las siguientes firmas no eran válidas: EXPKEYSIG 1397BC53640DB551 ​​Google Inc. (Autoridad de firma de paquetes de Linux)

Significa que la firma criptográfica no es válida. La fuente de esto puede ser un ataque, una configuración incorrecta u otro tipo de problema técnico. Si obliga a su sistema a actualizar, se ejecutará una versión no verificada de su navegador web, que puede exponerlo a muchos problemas de seguridad.

fuente

sxn
fuente
0

Google necesita actualizar su clave GPG. Sin embargo, puede marcar la fuente de Deb como confiable, hasta que Google renueve su clave:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. agregue trusted=yessu /etc/apt/sources.list.d/google-chrome.list archivo, para que se vea así:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

Aún obtienes un error GPG no válido, pero puedes ignorarlo por ahora.

NOTA : Tenga cuidado ya que esto puede traer problemas de seguridad, en redes no confiables, cuando no se utiliza https en el enlace de origen de Deb.

EDITAR: la advertencia GPG ya no aparece. Google ha renovado su clave. Si siguió la solución anterior, simplemente quite la trusted=yesparte, luego apt cleany finalmente apt update. Ya no debería ver ningún error: D

Dimitris Moraitidis
fuente
2
No hagas esto. Si no es por otra razón que la fuente no está encriptada. Si hizo esto, se olvidó de todo y luego se desvió a una red defectuosa, podría interceptar y subvertir fácilmente la versión Release, packages.list y, por lo tanto, esencialmente ejecutar todo lo que le gustaba como root en su computadora. No es una buena idea.
Oli
2
Has perdido mi punto. Si alguien puede interceptar el tráfico de su red, puede pretender ser Google. No hay TLS en una conexión http: //. Normalmente, Apt tiene su respaldo aquí porque verifican que todas las listas de versiones y paquetes estén firmadas. Si interceptas esto normalmente, y cambias algo maliciosamente, verás un error de firma. Estás evitando todo ese mecanismo aquí.
Oli
1
En efecto. Gracias por la explicación
Dimitris Moraitidis
2
De acuerdo, pero puede hacerlo temporalmente con https con Trusted = yes (por ahora, suponiendo que no está siendo TLS MiTM). Por ejemplo:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy
1
También de hecho. Así que supongo que mi edición reciente, al menos debería volver a 0 en lugar de -2: P
Dimitris Moraitidis
0

Parece que, como dijo @DooMMasteR, Google dejó que el certificado de firma expirara para sus repositorios de Linux , cuya fecha de vencimiento era el 12 de abril . @yareckon explicó que este apterror de seguridad funciona como se esperaba para evitar la instalación de software mal firmado.

9 horas después de la publicación del problema, Google corrigió los certificados de forma transparente para los usuarios que utilizan el repositorio de Google Chrome . El error se detuvo después de que renovaron los certificados, progresivamente también en el resto de repositorios propiedad de Google (Google Earth, Google Music Manager ...).

No se necesita ninguna acción (y se recomienda) por parte de los usuarios, solo esperando que los repositorios en uso se firmen con claves renovadas.

León
fuente