Pourquoi les correctifs BADSIG proposés (sur la mise à jour apt-get) sont-ils sécurisés?

Je cours apt-get updateet je vois des erreurs comme

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

Il n'est pas difficile de trouver des instructions sur la façon de résoudre ces problèmes, par exemple en demandant les nouvelles clés avec apt-key adv --recv-keysou en reconstruisant le cache; donc je ne demande pas comment les corriger.

Mais pourquoi est-ce la bonne chose à faire? Pourquoi "oh, j'ai besoin de nouvelles clés? Cool, allez chercher de nouvelles clés" ne va pas seulement à l'encontre du but d'avoir un référentiel signé en premier lieu? Les clés sont-elles signées par une clé principale qui apt-keyvérifie? Devrions-nous faire une validation supplémentaire pour nous assurer d'obtenir des clés légitimes?

Concepts de base pertinents sur l'idée derrière la signature GPG et comment elle garantit un référentiel signé plus sécurisé:

• Quelles sont les signatures GPG ?

À mon avis, les correctifs proposés ne sont pas sécurisés. Une solution plus sûre serait de tout faire sauter /var/lib/apt/lists/comme suggéré dans cette réponse. Je suggère cela car, apt vérifie automatiquement l'intégrité du paquet et est une solution sans tracas par rapport à la recherche de chacune des clés.

Cela ne signifie pas que vous ne devez pas ajouter manuellement les clés, mais uniquement si vous savez comment vérifier si les clés sont valides. Quelques moyens de vérifier l'intégrité du package / la validité de la clé:

• Vérifier si la clé GPG est déjà répertoriée dans le releases.gpgfichier. S'il est déjà disponible, vous pouvez être assuré que la clé est sécurisée car seules les clés des développeurs de confiance sont incluses dans le releases.gpgfichier.
• debsig-verifypackage d' installation ( page de manuel de la debsig-verifycommande ). Il vérifie automatiquement la source et la validité du paquet Debian lui-même. Cependant, vous pouvez rencontrer de temps en temps des problèmes étranges depuis les debsig-verifyvérifications des signatures intégrées dans les paquets Debian, quelque chose qui n'est pas largement pratiqué depuis l'avènement de secure-apt.

Donc, la solution acceptée sur Quel est le moyen le plus simple de résoudre les erreurs apt-get BADSIG GPG? n'est pas exactement recommandé ni sécurisé pour le Joe moyen, car il n'aurait probablement ni le temps, ni la patience ni la conscience de vérifier si la solution est suffisamment sécurisée pour lui. Au lieu de cela, la deuxième réponse à cette question devrait être recommandée pour sa simplicité et une sécurité plus garantie.

Pertinent :

• Quelles précautions dois-je prendre avec .debs que je trouve sur Internet?
• Les PPA sont-ils sûrs à ajouter à mon système et quels sont les "drapeaux rouges" à surveiller?