为什么提议的BADSIG(在apt-get update上)修复安全?
我正在运行apt-get update ,我看到了类似的错误
W: GPG error: http://us.archive.ubuntu.com precise Release: The following signatures were invalid: BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key
找到如何解决这些问题的说明并不难,例如通过使用apt-key adv --recv-keys询问新apt-key adv --recv-keys或重建缓存; 所以我不会问如何解决这些问题。
但为什么这是正确的做法? 为什么“哦,我需要新密钥?酷,去获取新密钥”不仅仅是为了打破首先拥有签名存储库的目的? 密钥是否由apt-key检查的主密钥签名? 我们是否应该进行一些额外的validation以确保我们获得合法密钥?
关于GPG签名背后的想法的相关基本概念以及它如何确保更安全的签名存储库:
- 什么是GPG签名 ?
在我看来,提议的修复程序并不安全。 一个更安全的解决方案是将这个答案中建议的/var/lib/apt/lists/所有内容都清除掉。 我建议这是因为, apt会自动检查包的完整性,与搜索每个键相比,这是一个非常轻松的解决方案。
这并不意味着您不应手动添加密钥,但前提是您知道如何检查密钥是否有效。 检查包的完整性/密钥有效性的一些方法:
- 交叉检查 GPG密钥是否已在
releases.gpg文件中列出。 如果它已经可用,您可以放心,密钥是安全的,因为只有受信任开发人员的密钥包含在releases.gpg文件中。 - 安装
debsig-verify软件包(debsig-verify命令的联机帮助页)
)。 它会自动validationDebian软件包本身的来源和有效性。 但是,自debsig-verify检查嵌入在Debian软件包中的签名以来,您可能会不时遇到奇怪的问题,这是自secure-apt出现以来未广泛实施的问题。
那么, 解决apt-get BADSIG GPG错误的最简单方法是什么? 对于普通的Joe来说,并不是完全推荐也不安全,因为他可能没有时间,耐心或意识来检查解决方案是否足够安全。 相反,应该推荐关于该问题的第二个答案,因为它的简单性和更有保障的安全性。
相关 :
- 我应该在互联网上找到什么预防措施.debs?
- PPA是否可以安全地添加到我的系统中,需要注意哪些“危险信号”?