Warum sind die vorgeschlagenen BADSIG-Korrekturen (bei apt-get update) sicher?

Ich renne apt-get updateund sehe Fehler wie

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

Es ist nicht schwer Anweisungen zu finden , wie diese Probleme zu beheben, zum Beispiel , indem sie mit den neuen Schlüssel zu fragen apt-key adv --recv-keysoder den Wiederaufbau des Cache; Ich frage also nicht, wie ich diese beheben soll.

Aber warum ist das das Richtige? Warum ist "Oh, ich brauche neue Schlüssel? Cool, hol neue Schlüssel" nicht nur der Zweck, überhaupt ein signiertes Repository zu haben? Sind die Schlüssel von einem Hauptschlüssel signiert, der apt-keyprüft? Sollten wir eine zusätzliche Validierung durchführen, um sicherzustellen, dass wir legitime Schlüssel erhalten?

Relevante Grundkonzepte über die Idee hinter der GPG-Signatur und wie sie ein sichereres signiertes Repository gewährleistet:

• Was sind die GPG-Signaturen ?

Meiner Meinung nach sind die vorgeschlagenen Korrekturen nicht sicher. Eine sicherere Lösung wäre, alles auszublasen, /var/lib/apt/lists/wie in dieser Antwort vorgeschlagen. Ich schlage dies vor, weil apt automatisch die Integrität des Pakets überprüft und eine sehr problemlose Lösung ist, verglichen mit der Suche nach jedem der Schlüssel.

Das bedeutet nicht, dass Sie die Schlüssel nicht manuell hinzufügen sollten, sondern nur, wenn Sie wissen, wie Sie überprüfen können, ob die Schlüssel gültig sind. Einige Möglichkeiten zur Überprüfung der Integrität des Pakets / der Gültigkeit des Schlüssels:

• Gegenprüfung, ob der GPG-Schlüssel bereits in der releases.gpgDatei aufgeführt ist. Wenn es bereits verfügbar ist, können Sie sicher sein, dass der Schlüssel sicher ist, da nur die Schlüssel vertrauenswürdiger Entwickler in der releases.gpgDatei enthalten sind.
• Installationspaket debsig-verify( Manpage für den debsig-verifyBefehl ). Es überprüft automatisch die Quelle und die Gültigkeit des Debian-Pakets. Es kann jedoch vorkommen, dass Sie von Zeit zu Zeit auf seltsame Probleme stoßen, da debsig-verifyin Debian-Paketen nach Signaturen gesucht wird, was seit dem Aufkommen von Secure-Apt nicht mehr weit verbreitet ist.

Also, die akzeptierte Lösung unter Was ist der einfachste Weg, um apt-get BADSIG GPG-Fehler zu beheben? ist für den durchschnittlichen Joe weder genau empfohlen noch sicher, da er wahrscheinlich weder die Zeit noch die Geduld oder das Bewusstsein hätte, um zu prüfen, ob die Lösung für ihn sicher genug ist. Stattdessen sollte die zweite Antwort auf diese Frage aufgrund ihrer Einfachheit und einer garantierten Sicherheit empfohlen werden.

Relevant :

• Welche Vorsichtsmaßnahmen sollte ich bei .debs treffen, die ich im Internet finde?
• Sind PPAs sicher, meinem System hinzuzufügen, und worauf sollten Sie bei einigen "roten Fahnen" achten?