# apt-get update
Hit:1 http://security.ubuntu.com/ubuntu focal-security InRelease
Ign:2 http://ddebs.ubuntu.com focal InRelease
Hit:3 http://dl.google.com/linux/chrome/deb stable InRelease
Hit:4 http://packages.microsoft.com/repos/code stable InRelease
Hit:5 http://de.archive.ubuntu.com/ubuntu focal InRelease
Ign:6 http://ddebs.ubuntu.com focal-updates InRelease
Ign:7 https://apache.bintray.com/couchdb-deb focal InRelease
Hit:8 http://de.archive.ubuntu.com/ubuntu focal-updates InRelease
Get:9 https://apache.bintray.com/couchdb-deb focal Release [1838 B]
Ign:10 http://ddebs.ubuntu.com focal-proposed InRelease
Hit:11 http://de.archive.ubuntu.com/ubuntu focal-backports InRelease
Hit:12 http://ddebs.ubuntu.com focal Release
Hit:13 http://ddebs.ubuntu.com focal-proposed Release
Get:14 http://ddebs.ubuntu.com focal-updates Release [40.5 kB]
Get:15 http://ddebs.ubuntu.com focal-updates Release.gpg [819 B]
Err:17 http://ddebs.ubuntu.com focal Release.gpg
The following signatures were invalid: EXPKEYSIG C8CAB6595FDFF622 Ubuntu Debug Symbol Archive Automatic Signing Key (2016) <ubuntu-archive@lists.ubuntu.com>
Err:18 http://ddebs.ubuntu.com focal-proposed Release.gpg
The following signatures were invalid: EXPKEYSIG C8CAB6595FDFF622 Ubuntu Debug Symbol Archive Automatic Signing Key (2016) <ubuntu-archive@lists.ubuntu.com>
Err:15 http://ddebs.ubuntu.com focal-updates Release.gpg
The following signatures were invalid: EXPKEYSIG C8CAB6595FDFF622 Ubuntu Debug Symbol Archive Automatic Signing Key (2016) <ubuntu-archive@lists.ubuntu.com>
Fetched 43.1 kB in 2s (27.1 kB/s)
Reading package lists... Done
(Пожалуйста, игнорируйте репозитории, отличные от Ubuntu, указанные выше. Они не являются частью проблемы.)
За несколько дней до этого все было в порядке, но внезапно, словно из ниоткуда, произошло вышеуказанное.
Обратите внимание, что загрузка ключа с сервера или любое подобное небезопасное действие не является ответом, это сама проблема .
Таким образом, правильный приемлемый ответ должен включать способ (криптографически) проверить, что он является законным и что создателем неисправных (а затем исправленных) репозиториев действительно является канонический, а не кто-то другой, способный действовать как поддельное зеркало Ubuntu, сервер ключей или MitM (возможно, с законным сертификатом SSL от какого-то взломанного ЦС).
Он должен иметь возможность воспроизвести решение на немодифицированном, аутентичном и автономном Ubuntu 20.04 LTS, который имеет доступ только к некоторому локальному непроверенному зеркалу Ubuntu (поэтому он должен также проверять подлинность зеркала).
Решение не должно включать ни искажение времени (машина должна быть синхронизирована по протоколу NTP), ни отключение некоторых функций безопасности в глобальном масштабе (например, отключение точной проверки для ключей с истекшим сроком действия).
Однако решение может включать локальные модификации, которые позволяют продолжать использовать просроченный ключ, если это не влияет на другие ключи на машине, например, продление срока действия ключа вручную C8CAB6595FDFF622
, но только этого одинокого ключа.
# apt-get install ubuntu-dbgsym-keyring
Reading package lists... Done
Building dependency tree
Reading state information... Done
ubuntu-dbgsym-keyring is already the newest version (2020.02.11.2).
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
# dpkg -L ubuntu-dbgsym-keyring
/.
/etc
/etc/apt
/etc/apt/trusted.gpg.d
/etc/apt/trusted.gpg.d/ubuntu-keyring-2016-dbgsym.gpg
/usr
/usr/share
/usr/share/doc
/usr/share/doc/ubuntu-dbgsym-keyring
/usr/share/doc/ubuntu-dbgsym-keyring/changelog.gz
/usr/share/doc/ubuntu-dbgsym-keyring/copyright
/usr/share/keyrings
/usr/share/keyrings/ubuntu-dbgsym-keyring.gpg
/usr/share/keyrings/ubuntu-dbgsym-removed-keys.gpg
(WTF, почему /.
?!?)
# apt-key list C8CAB6595FDFF622
pub rsa4096 2016-03-21 [SC] [expired: 2021-03-20]
F2ED C64D C5AE E1F6 B9C6 21F0 C8CA B659 5FDF F622
uid [ expired] Ubuntu Debug Symbol Archive Automatic Signing Key (2016) <ubuntu-archive@lists.ubuntu.com>
истек
, объясняет, почему apt
стонет. Но знание этого не дает мне решения, а просто вызывает вопросы.
Эта проблема, вероятно, исчезнет сама собой, как только Canonical выпустит обновление для ubuntu-dbgsym-keyring
. Но до тех пор, пока этого нет, должен быть какой-то способ, как правильно справиться с такой проблемой самостоятельно, используя какой-то запасной метод, верно? Поскольку просроченный ключевой материал является общей проблемой, не говоря уже об одной из самых распространенных стандартных проблем в криптографии, верно?
Итак Canonical не виновата в том, что срок действия ключа истек . Tempus fugit и все, кто занимается криптографическими стандартами, знают об этом. Поскольку это стандартная проблема при работе с Crypto, обработка этой ситуации, безусловно, должна быть частью каждого стандарта Crypto, верно? Таким образом, каждая правильная реализация Crypto должна обеспечивать какой-то простой способ обойти такие основные стандартные проблемы, предоставляя локальное временное решение, которое автоматически растворяется, когда в нем больше нет необходимости, верно?
DES был изобретен в 1975 году, теперь уже 2021 год.Следовательно, криптография, безусловно, является зрелой и не лишена базовых стандартных шаблонов, таких как работа с просроченными ключами, верно? И это просто моя вина, что я не знаю, как правильно решить такую стандартную проблему, не так ли? Или я здесь что-то совершенно не понимаю?
(Отказ от ответственности: все в этом вопросе честно, без иронии. Вся ирония там.)
Проблема, похоже, была исправлена - после запучения Sudo APT Установить reinstall Ubuntu-dbgsym-keyring
Проблема ушла.