我在跑步apt-get update,看到类似以下错误
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
不难找到有关如何解决这些问题的说明,例如,通过请求新密钥apt-key adv --recv-keys或重建缓存;所以我不是在问如何解决这些问题。
但是,为什么这样做是正确的呢?为什么“哦,我需要新密钥?太酷了,去获取新密钥”为什么不仅要打败拥有签名存储库的目的?密钥是否由apt-key检查的主密钥签名?我们是否应该做一些额外的验证以确保我们获得合法密钥?
Answers:
有关GPG签名背后的思想以及如何确保更安全的签名存储库的相关基本概念:
我认为,建议的修复程序并不安全。一种更安全的解决方案是/var/lib/apt/lists/按照此答案的建议将所有内容都炸掉。我之所以建议这样做是因为,apt会自动检查软件包的完整性,并且与查找每个密钥相比,这是一个非常轻松的解决方案。
这并不意味着您不应该手动添加密钥,而仅当您知道如何检查密钥是否有效时。检查包完整性/密钥有效性的一些方法:
releases.gpg文件中列出。如果已经可用,则可以放心该密钥是安全的,因为文件中仅包含受信任的开发人员的密钥releases.gpg。debsig-verify软件包(命令的手册页debsig-verify
)。它会自动验证Debian软件包本身的来源和有效性。但是,由于debsig-verify检查了嵌入在Debian软件包中的签名,您可能会不时遇到奇怪的问题,这是从secure-apt出现以来并未广泛实施的。因此,解决apt-get BADSIG GPG错误的最简单方法是什么?对于普通的Joe来说,它不是完全推荐的,也不是安全的,因为他可能没有时间,耐心或意识来检查解决方案是否对他来说足够安全。相反,应该建议该问题的第二个答案,因为其简单性和更高的安全性。
相关: