เหตุใดการแก้ไข BADSIG ที่เสนอ (ในการปรับปรุง apt-get) จึงปลอดภัย?

ฉันกำลังวิ่งapt-get updateและฉันเห็นข้อผิดพลาดเช่น

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

การหาคำแนะนำในการแก้ไขปัญหาเหล่านี้ไม่ใช่เรื่องยากตัวอย่างเช่นโดยขอคีย์ใหม่ด้วยapt-key adv --recv-keysหรือสร้างแคชใหม่ ดังนั้นฉันไม่ได้ถามเกี่ยวกับวิธีการแก้ไขเหล่านี้

แต่ทำไมเป็นสิ่งที่ถูกต้องที่จะทำ? เพราะเหตุใด "โอ้ฉันต้องการคีย์ใหม่หรือไม่เด็ดไปรับคีย์ใหม่" ไม่ใช่แค่เอาชนะวัตถุประสงค์ของการมีที่เก็บข้อมูลที่ลงชื่อแล้วตั้งแต่แรก คีย์ที่เซ็นชื่อด้วยมาสเตอร์คีย์นั้นapt-keyตรวจสอบหรือไม่? เราควรตรวจสอบเพิ่มเติมเพื่อให้แน่ใจว่าเราได้รับกุญแจที่ถูกต้องหรือไม่

แนวคิดพื้นฐานที่เกี่ยวข้องเกี่ยวกับแนวคิดที่อยู่เบื้องหลังลายเซ็น GPG และวิธีทำให้มั่นใจว่าที่เก็บที่ลงชื่อมีความปลอดภัยมากขึ้น:

• ลายเซ็น GPGคืออะไร?

ในความคิดของฉันการแก้ไขที่เสนอไม่ปลอดภัย วิธีแก้ปัญหาที่ปลอดภัยยิ่งขึ้นคือการทำให้ทุกอย่าง/var/lib/apt/lists/เป็นไปตามคำแนะนำในคำตอบนี้ ฉันแนะนำสิ่งนี้เพราะapt ตรวจสอบความสมบูรณ์ของแพ็คเกจโดยอัตโนมัติและเป็นวิธีแก้ปัญหาที่ไม่ยุ่งยากมากเมื่อเทียบกับการค้นหาคีย์แต่ละปุ่ม

นั่นไม่ได้หมายความว่าคุณไม่ควรเพิ่มคีย์ด้วยตนเอง แต่เฉพาะในกรณีที่คุณรู้วิธีตรวจสอบว่าคีย์นั้นถูกต้องหรือไม่ วิธีตรวจสอบความสมบูรณ์ของแพ็กเกจ / ความถูกต้องของคีย์:

• การตรวจสอบข้ามว่ารหัส GPG แสดงอยู่ในreleases.gpgไฟล์แล้ว หากมีอยู่แล้วคุณสามารถมั่นใจได้ว่ากุญแจมีความปลอดภัยเพราะมีเพียงคีย์ของนักพัฒนาที่เชื่อถือได้เท่านั้นที่รวมอยู่ในreleases.gpgไฟล์
• ติดตั้งdebsig-verifyแพ็คเกจ ( manpage สำหรับdebsig-verifyคำสั่ง ) จะตรวจสอบแหล่งที่มาและความถูกต้องของแพ็คเกจ Debian โดยอัตโนมัติ แม้ว่าคุณอาจพบปัญหาแปลก ๆ เป็นครั้งคราวตั้งแต่การdebsig-verifyตรวจสอบลายเซ็นที่ฝังอยู่ในแพ็คเกจ Debian สิ่งที่ไม่ได้รับการฝึกฝนอย่างกว้างขวางตั้งแต่การถือกำเนิดของความปลอดภัย

ดังนั้นวิธีการที่ได้รับการยอมรับที่วิธีที่ง่ายที่สุดในการแก้ไขข้อผิดพลาด BADSIG GPG ที่ฉลาดคืออะไร? ไม่แนะนำหรือไม่ปลอดภัยสำหรับโจโดยเฉลี่ยเพราะเขาอาจไม่มีเวลาความอดทนหรือการรับรู้ที่จะตรวจสอบว่าทางออกนั้นปลอดภัยเพียงพอสำหรับเขาหรือไม่ ควรแนะนำคำตอบที่สองสำหรับคำถามนั้นเพื่อความเรียบง่ายและรับประกันความปลอดภัยที่มากกว่า

ที่เกี่ยวข้อง :

• ฉันควรระวังอะไรบ้างเมื่อใช้. deb ที่ฉันพบบนอินเทอร์เน็ต
• PPA ปลอดภัยที่จะเพิ่มลงในระบบของฉันหรือไม่และ "ธงแดง" ที่ต้องระวังมีอะไรบ้าง