Como corrigir o apt: A assinatura por chave usa o algoritmo de resumo fraco (SHA1)?

Navegue suas respostas
123

Comecei a configurar adicionando repositórios e depois fui executar um sudo apt-get update novamente antes de começar a instalar outro software, e obtive as linhas de chave de assinatura e ele parou. Então, essencialmente, não vai me deixar atualizar nenhum pacote agora. 

d@EliteBook:~/Downloads$ sudo apt-get update
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://security.ubuntu.com/ubuntu xenial-security InRelease              
Get:5 http://ca.archive.ubuntu.com/ubuntu xenial InRelease [247 kB]
Hit:6 http://ca.archive.ubuntu.com/ubuntu xenial-updates InRelease
Hit:7 http://ca.archive.ubuntu.com/ubuntu xenial-backports InRelease
Fetched 247 kB in 0s (256 kB/s)                   
Reading package lists... Done
W: http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg: Signature by 
key 4CCA1EAF950CEE4AB83976DCA040830F7FAC5991 uses weak digest algorithm (SHA1)
d@EliteBook:~/Downloads$

Eu nunca vi isso antes sempre que eu configuro e começo a instalar coisas no Ubuntu. Há mais alguma coisa que eu possa fazer?

    
por dlchang 22.04.2016 / 21:43

4 respostas

63

O problema com a fonte do Google está no final do Google, mas apt-get está apenas relatando o problema como um aviso. Esse problema não impede que você faça upgrade de pacotes.

Você está usando apt-get e o que está vendo é o comportamento normal depois de executar update : ele executa a atualização, mas não fornece informações adicionais.

Você precisa seguir sudo apt-get update com sudo apt-get upgrade para ver se há atualizações de pacotes disponíveis.

O mais recente sudo apt update (observe que é apenas apt ) fornece feedback sobre os resultados.

Ao usar apt , você verá uma mensagem informando que 

All packages are up to date

ou 

The following packages will be upgraded:

Veja também apt list --upgradeable .

    
por chaskes 25.04.2016 / 05:55
32

Debian e Ubuntu impõem SHA256 ou entradas superiores nos arquivos Release e / ou Packages desde março . Os repositórios que faltam precisam ser corrigidos por seus proprietários.

Existe uma visão geral dos repositórios quebrados no wiki do Debian.

    
por webwurst 03.05.2016 / 00:08
17

Como @chaskes diz que este é um problema com o repositório não com o seu computador.

@webwurst tem boas ligações com o problema subjacente. Há também um esclarecimento sobre as assinaturas.

Se você estiver hospedando um repositório que está dando esses erros. A solução é alterar o padrão cert-digest-algo para SHA256 . Por padrão, o padrão do gnupg é usar SHA1

Depois de corrigir esse problema, o próximo aviso será que a assinatura "usa o algoritmo de resumo fraco (SHA1)". E para corrigir isso, você também pode definir digest-algo para SHA256 .

Esses valores vão para o servidor de repositório no gpg.conf que o repositório está usando.

A mão curta é anexar 

cert-digest-algo SHA256
digest-algo SHA256

ao seu arquivo ~/.gnupg/gpg.conf .

Nosso projeto emitiu aqui , que deve ter um exemplo de como consertá-lo para nossa implantação mecanismo.

    
por Tully 24.05.2016 / 00:33
4

Para evitar esse erro, você pode remover o repositório.

% bl0ck_qu0te%

Na primeira busca por Software e Atualizações no Dash. Abra-o e mude para o separador Outro Software .

Procure uma entrada como esta: 

http://dl.google.com/linux/earth/deb/dists/stable/

eremova-o.

Porfim,váparaaguiaAutenticaçãoevocêencontraráalgoquemenciona"Google", remova isso também.

Ele deve parar de mostrar essa mensagem de erro irritante toda vez que você tentar atualizar seus repositórios agora.

    
por Hayet Mahamud 14.06.2016 / 10:50
Problemas que voltam da suspensão? Reinstale o Ubuntu no MacBook Core Duo antigo de 2006 - não é possível inicializar a partir do USB