Почему предлагаемые исправления BADSIG (при обновлении apt-get) безопасны?

Я бегу apt-get update, и я вижу такие ошибки, как

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

Нетрудно найти инструкции о том, как исправить эти проблемы, например, запросив новые ключи apt-key adv --recv-keysили перестроив кэш; поэтому я не спрашиваю о том, как это исправить.

Но почему это правильно? Почему «о, мне нужны новые ключи? Круто, иди за новыми ключами», а не просто побеждать цель иметь подписанный репозиторий? Ключи подписаны мастер-ключом, который apt-keyпроверяет? Должны ли мы проводить дополнительную проверку, чтобы убедиться, что мы получаем законные ключи?

Соответствующие основные понятия об идее подписи GPG и о том, как она обеспечивает более безопасный подписанный репозиторий:

• Какие подписи GPG ?

На мой взгляд, предложенные исправления не являются безопасными. Более безопасным решением было бы уничтожить все, /var/lib/apt/lists/как предлагается в этом ответе. Я предлагаю это, потому что apt автоматически проверяет целостность пакета и является гораздо более простым решением по сравнению с поиском каждого из ключей.

Это не означает, что вы не должны добавлять ключи вручную, но только если вы знаете, как проверить, действительны ли ключи. Некоторые способы проверки целостности пакета / действительности ключа:

• Перекрестная проверка, если ключ GPG уже указан в releases.gpgфайле. Если он уже доступен, вы можете быть уверены, что ключ защищен, поскольку в releases.gpgфайл включены только ключи доверенных разработчиков .
• установить debsig-verifyпакет ( man-страница для debsig-verifyкоманды ). Он автоматически проверяет источник и действительность самого пакета Debian. Тем не менее, вы можете время от времени сталкиваться со странными проблемами с debsig-verifyпроверками сигнатур, встроенных в пакеты Debian, что не практикуется с момента появления secure-apt.

Итак, принятое решение в разделе Как проще всего устранить ошибки apt-get BADSIG GPG? точно не рекомендуется и не является безопасным для среднего Джо, поскольку у него, вероятно, не было бы ни времени, ни терпения, ни осведомленности, чтобы проверить, является ли решение достаточно безопасным для него. Вместо этого следует рекомендовать второй ответ на этот вопрос из-за его простоты и более гарантированной безопасности.

Релевантно :

• Какие меры предосторожности я должен предпринять с .debs, которые я нахожу в Интернете?
• Безопасно ли добавлять PPA в мою систему и на что следует обращать внимание при «красных флажках»?