Mengapa perbaikan BADSIG yang diusulkan (saat pembaruan apt-get) aman?

Saya sedang menjalankan apt-get update, dan saya melihat kesalahan seperti

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

Tidak sulit menemukan petunjuk tentang cara memperbaiki masalah ini, misalnya dengan meminta kunci baru dengan apt-key adv --recv-keysatau membangun kembali cache; jadi saya tidak bertanya bagaimana cara memperbaikinya.

Tetapi mengapa ini hal yang benar untuk dilakukan? Mengapa "oh, saya perlu kunci baru? Keren, pergi ambil kunci baru" tidak hanya mengalahkan tujuan memiliki repositori yang ditandatangani di tempat pertama? Apakah kunci ditandatangani oleh kunci master yang apt-keymemeriksa? Haruskah kita melakukan beberapa validasi tambahan untuk memastikan bahwa kita mendapatkan kunci yang sah?

Konsep dasar yang relevan tentang ide di balik tanda tangan GPG dan bagaimana memastikan repositori yang ditandatangani lebih aman:

• Apa saja tanda tangan GPG ?

Menurut pendapat saya, perbaikan yang diusulkan tidak aman. Solusi yang lebih aman adalah meledakkan segala sesuatu /var/lib/apt/lists/seperti yang disarankan dalam jawaban ini. Saya menyarankan ini karena, untuk secara otomatis memeriksa integritas paket dan merupakan solusi yang jauh lebih mudah dibandingkan dengan memburu masing-masing kunci.

Itu tidak berarti Anda tidak harus menambahkan kunci secara manual, tetapi hanya jika Anda tahu cara memeriksa apakah kunci tersebut valid. Beberapa cara untuk memeriksa integritas paket / validitas kunci:

• Pemeriksaan silang jika kunci GPG sudah terdaftar dalam releases.gpgfile. Jika sudah tersedia, Anda dapat yakin bahwa kunci aman karena hanya kunci pengembang tepercaya yang disertakan dalam releases.gpgfile.
• instal debsig-verifypaket ( manpage untuk debsig-verifyperintah ). Secara otomatis memverifikasi sumber dan validitas paket Debian itu sendiri. Meskipun, Anda mungkin mengalami masalah aneh dari waktu ke waktu sejak debsig-verifymemeriksa tanda tangan yang tertanam di dalam paket Debian, sesuatu yang tidak banyak dipraktikkan sejak munculnya secure-apt.

Jadi, solusi yang diterima di Apa cara termudah untuk menyelesaikan kesalahan BADSIG GPG apt-get? tidak persis direkomendasikan atau aman untuk Joe rata-rata, karena ia mungkin tidak akan punya waktu, kesabaran atau kesadaran untuk memeriksa apakah solusinya cukup aman untuknya. Sebagai gantinya, jawaban kedua pada pertanyaan itu harus direkomendasikan karena kesederhanaannya dan keamanan yang lebih terjamin.

Relevan :

• Peringatan apa yang harus saya ambil dengan .deb yang saya temukan di internet?
• Apakah PPA aman untuk ditambahkan ke sistem saya dan "bendera merah" apa yang harus diperhatikan?