以下签名无效:EXPKEYSIG 1397BC53640DB551


90

这是问题952287:[用户反馈-稳定]由于GPG签名密钥过期,Chrome for Linux的报告无法安装/更新


今天,apt在我所有的计算机上运行都会导致Google PPA出现此错误(用于google-chrome):

me@mymachine:~$ sudo apt clean && sudo apt update && sudo apt full-upgrade -y && sudo apt autoremove -y && sudo apt autoclean -y && sudo snap refresh 
[sudo] password for me: 
Ign:1 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:2 http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu bionic InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable Release                     
Hit:4 http://archive.ubuntu.com/ubuntu bionic InRelease                        
Get:5 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]
Get:6 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]
Err:7 http://dl.google.com/linux/chrome/deb stable Release.gpg
  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
Get:8 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]
Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [574 kB]
Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [488 kB]
Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [278 kB]
Get:12 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [66,7 kB]
Get:13 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [123 kB]
Get:14 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [756 kB]
Get:15 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [745 kB]
Get:16 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [201 kB]
Get:17 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [209 kB]
Get:18 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [191 kB]
Get:19 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [360 kB]
Get:20 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2.468 B]
Get:21 http://archive.ubuntu.com/ubuntu bionic-backports/universe amd64 DEP-11 Metadata [7.352 B]
Get:22 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 Packages [296 kB]
Get:23 http://archive.ubuntu.com/ubuntu bionic-security/main i386 Packages [216 kB]
Get:24 http://archive.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:25 http://archive.ubuntu.com/ubuntu bionic-security/universe i386 Packages [127 kB]
Get:26 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [131 kB]
Get:27 http://archive.ubuntu.com/ubuntu bionic-security/universe Translation-en [74,2 kB]
Get:28 http://archive.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [20,8 kB]
Get:29 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 48x48 Icons [12,2 kB]
Get:30 http://archive.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [50,4 kB]
Get:31 http://archive.ubuntu.com/ubuntu bionic-security/multiverse amd64 DEP-11 Metadata [2.464 B]
Fetched 5.183 kB in 2s (2.131 kB/s)                                  
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All packages are up to date.
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://dl.google.com/linux/chrome/deb stable Release: The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Failed to fetch http://dl.google.com/linux/chrome/deb/dists/stable/Release.gpg  The following signatures were invalid: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>
W: Some index files failed to download. They have been ignored, or old ones used instead.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Calculating upgrade... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists... Done
Building dependency tree       
Reading state information... Done
All snaps up to date.

已经尝试通过以下方式再次导入GPG密钥:

wget -q -O - https://dl-ssl.google.com/linux/linux_signing_key.pub | sudo apt-key add -

资料来源:Google Linux软件存储库

编辑:以西班牙语添加错误行以获得更好的可见性:

Las siguientes firmas no fueron válidas: EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>

EDIT2:和法语(覆盖前3种语言):

Les signatures suivantes ne sont pas valables : EXPKEYSIG 1397BC53640DB551 Google Inc. (Linux Packages Signing Authority) <linux-packages-keymaster@google.com>


11
这也发生在我身上。
弗雷德


1
我在帖子顶部添加了一个指向错误报告的链接。请随时移动或删除它。
DK Bose

4
我认为它现在已解决
Leo

1
今天,八天后,这件事发生在我身上,至今仍在发生。
格雷戈里·史密瑟曼

Answers:


64

这就是您从这些检查中获得的保护。 当Google的工作陷入混乱时,您现在不想更新软件。等待他们修复它。在出现一些官方消息说新的​​密钥才是解决方案之前,请不要尝试通过重新安装密钥来覆盖。


9
等到他们解决它可能不是所有人的选择。例如,这正在打破我们的CI流程。如果您现在正在做什么,则可以通过添加[trusted=yes]到其配置来冒险并deb [trusted=yes] http://dl.google.com/linux/chrome/deb/ stable main
暂时

4
这不是第一次发生这种情况。我记得在过去的几年里,与Google至少有2次相同的问题。我想知道Google发生了什么,为什么他们不能将他们的东西放在一起。
MichaelHärtl

4
@jelhan这就是为什么CI管道理想地利用本地镜像/缓存而不是直接进入上游的原因。
Konrad Rudolph

2
@MichaelHärtl我一直在看Google,而精英管理似乎已经不再流行。
DK Bose

6
trusted=yes达不到数字签名的全部目的,并且基本上破坏了整个系统。您不应轻率地这样做,尤其是对于“临时解决方法”不是一个好主意。
kissgyorgy


15

该问题已由Google Abr 12/2019解决(仅Google Chrome。已在Ubuntu 18.04.x中测试)

在此处输入图片说明 没事做 存储库已签名

2019年4月19日更新:

在此处输入图片说明

Google小组已确认针对其他非Chrome Google产品的其他修复程序已发布

来源:https//support.google.com/chrome/thread/4032170


1
你在哪报告的?Google尚未将其固定在某些其他存储库上,例如Music Manager,因此我也想报告一下。
Paddy Landau

9

看起来Google的签名密钥已过期。请耐心等待其修复(这可能会或可能不需要在修复密钥后重新添加密钥)。


1

对于没有足够耐心让Google更新证书的任何人...

您可以通过以下步骤解决此问题:

  1. 下载此文件:https : //dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb

(Chrome新版本,您可以通过谷歌浏览器自己获取)

  1. 关闭Chrome。
  2. 打开“软件和源”,转到“源”选项卡
  3. 删除(或禁用,如果您希望以后再启用它)Google来源(输入密码)并关闭窗口
  4. 允许“软件和源”重新加载源
  5. 进入软件中心,转到“已安装”
  6. 找到Chrome,将其卸载。
  7. 关闭软件和资源
  8. 打开一个终端,输入:

    sudo apt update && sudo apt autoremove -y && sudo apt autoclean && sudo apt full-upgrade -y

  9. 关闭终端并转到下载文件夹,然后双击文件“ google-chrome-stable_current_amd64.deb”(这将打开软件中心)

  10. 点击安装

您现在可以打开Chrome备份了。您所有的标签页和保存的密码等都仍然存在。


@CarlosAlbertoSilveiradeAnd说:“太好了,为我工作!谢谢”,但对我的帖子进行了编辑,因为他尚不知道如何使用此网站。
tatsu

1

4月15日,Google Earth和Music Manager存储库仍然出现此错误。他们肯定会为此度过美好的时光。


0

你不知道 您必须等待Google更新其密钥并进行更新。

重要信息是:

以下签名无效:EXPKEYSIG 1397BC53640DB551 Google Inc.(Linux软件包签名机构)

这意味着密码签名无效。造成这种情况的原因可能是攻击,配置错误或其他类型的技术问题。强制系统更新将导致运行未经验证的Web浏览器版本,从而使您面临很多安全问题。

资源


0

Google需要更新GPG密钥。不过,您可以将deb来源标记为受信任,直到Google续签密钥为止:

  1. cd /var/lib/apt/lists
  2. sudo rm \ dl.google.com_linux_chrome_deb_dists_stable_main_binary-amd64_Packages \ dl.google.com_linux_chrome_deb_dists_stable_Release \ dl.google.com_linux_chrome_deb_dists_stable_Release.gpg

  3. 添加trusted=yes您的/etc/apt/sources.list.d/google-chrome.list文件,使其看起来像这样:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main

  4. apt clean

  5. apt update

您仍然会收到无效的GPG错误,但现在可以忽略它。

注意:当在deb源链接中未使用https时,请小心,因为这可能会在非可信网络上带来安全问题。

编辑: GPG警告不再出现。Google已更新其密钥。如果您按照上述解决方案进行操作,则只需移除trusted=yes零件,然后再移除apt clean&最后apt update。您应该不再看到任何错误:D


2
不要这样 如果除了未加密的源以外没有其他原因。如果这样做,则将其全部遗忘,然后误入一个不良的网络,它可能会轻易拦截并破坏Release,packages.list,因此实际上可以在计算机上以root用户身份运行任何它喜欢的东西。这不是一个好主意。
奥利

2
你错过了我的观点。如果有人可以拦截您的网络流量,那么他们可以假装为Google。http://连接上没有TLS。通常,Apt在这里支持您,因为他们检查所有发布和软件包列表均已签名。如果您正常地拦截了该文件并恶意更改了某些内容,则会看到签名错误。您在这里绕过了整个机制。
奥利

1
确实。感谢您的解释
Dimitris Moraitidis

2
同意,但您可以暂时将其设置为https,并设置trust = yes(目前(假设您不是TLS MiTM))。例如:deb [arch=amd64, trusted=yes] https://dl.google.com/linux/chrome/deb/ stable main
link_boy

1
也确实如此。所以我想我最近的修改是,我至少应该回到0而不是-2:P
Dimitris Moraitidis

0

看起来,作为@DooMMasteR说,谷歌让签名证书过期了他们的Linux库,其中到期日为4月12日。@yareckon解释说,此apt安全错误正在按预期起作用,以防止安装签名错误的软件。

问题发布后9个小时,Google对使用Google Chrome存储库的用户透明地修复了证书。在他们续订证书后,错误停止了,并且逐步在其他Google拥有的存储库(Google Earth,Google Music Manager ...)上也停止了。

用户无需采取任何措施(也不建议采取任何措施),只需等待使用已更新密钥对使用中的存储库进行签名即可。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.