提案されているBADSIG(apt-get update)の修正が安全なのはなぜですか?

8

実行していapt-get updateますが、次のようなエラーが表示されます

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

たとえば、キャッシュで新しいキーを要求したり、キャッシュを再構築したりして、これらの問題を修正する方法の説明を見つけるのは難しくありませんapt-key adv --recv-keys。だから私はこれらを修正する方法について尋ねていません。

しかし、なぜこれが正しいことなのでしょうか。「ああ、私は新しいキーが必要ですか?クール、新しいキーを入手してください」とは、そもそも署名されたリポジトリを持つという目的を打ち破るだけではないのですか?キーはapt-keyチェックするマスターキーによって署名されていますか?正当なキーを取得していることを確認するために、追加の検証を行う必要がありますか?

apt  security 
EvanED
ソース

回答:

5

GPG署名の背後にあるアイデアに関する関連する基本的な概念と、GPG署名がより安全な署名済みリポジトリを保証する方法:

私の意見では、提案された修正は安全ではありません。より安全な解決策は/var/lib/apt/lists/この回答で提案されているようにすべてを吹き飛ばすことです。aptはパッケージの整合性を自動的にチェックし、各キーを探すのに比べてはるかに手間のかからないソリューションであるため、これをお勧めします。

これは、手動でキーを追加してはならないという意味ではなく、キーが有効かどうかを確認する方法を知っている場合に限ります。パッケージの完全性/キーの有効性をチェックするいくつかの方法:

  • GPGキーがすでにreleases.gpgファイルにリストされているかどうかのクロスチェック。信頼できる開発者のキーのみがreleases.gpgファイルに含まれているため、すでに使用可能な場合は、キーが安全であることを安心できます。
  • インストールdebsig-verifyパッケージ(コマンドのマンページdebsig-verifyマンページアイコン)。Debianパッケージ自体のソースと有効性を自動的に検証します。ただし、debsig-verifyDebianパッケージ内に埋め込まれた署名のチェック以降、時折奇妙な問題に遭遇する可能性があります。これは、secure-aptの出現以来、広く実践されていないものです。

では、apt-get BADSIG GPGエラーを解決する最も簡単な方法は何ですか?ジョーはおそらく、平均的なジョーに対しては正確に推奨されておらず、安全でもありません。おそらく、彼がソリューションが十分に安全であるかどうかを確認する時間、忍耐力、または意識がないためです。代わりに、その質問の2番目の回答は、その単純さとより確実なセキュリティのために推奨されます。

関連

ジョーカーディーノ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.