web-dev-qa-db-ja.com

提案されたBADSIG(apt-get update)の修正が安全なのはなぜですか?

apt-get updateを実行していますが、次のようなエラーが表示されます

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

これらの問題を解決するためのhowに関する指示を見つけることは難しくありません。たとえば、apt-key adv --recv-keysで新しいキーを要求するか、キャッシュを再構築します。だから私はこれらを修正する方法について尋ねていません。

しかし、なぜこれが正しいことですか?なぜ「ああ、新しいキーが必要ですか?クール、新しいキーを取得します」は、最初に署名されたリポジトリを持つという目的に反するだけではありません。キーは、apt-keyがチェックするマスターキーによって署名されていますか?正当なキーを取得していることを確認するために、追加の検証を行う必要がありますか?

8
EvanED

GPG署名の背後にあるアイデアと、それがより安全な署名付きリポジトリを保証する方法に関する関連する基本概念:

私の意見では、提案された修正は安全ではありません。より安全な解決策は、 この回答で提案されているように、/var/lib/apt/lists/のすべてを消すことです。aptが自動的にチェックするため、パッケージの整合性 であり、各キーを探し出すのに比べて非常に手間のかからないソリューションです。

これは、キーが手動で追加されるべきではないという意味ではなく、キーが有効かどうかを確認する方法を知っている場合に限ります。パッケージの整合性/キーの有効性をチェックするいくつかの方法:

  • クロスチェック GPGキーが既にreleases.gpgファイルにリストされている場合。すでに利用可能な場合、信頼できる開発者のキーのみがreleases.gpgファイルに含まれているため、キーは安全であると安心できます。
  • install debsig-verify package( debsig-verifyコマンドのマンページ Manpage icon )。 Debianパッケージ自体のソースと有効性を自動的に検証します。ただし、debsig-verifyはDebianパッケージに埋め込まれた署名をチェックするため、時々、奇妙な問題に遭遇するかもしれません。これは、secure-aptの登場以来広く行われていないことです。

だから、 で受け入れられている解決策は、apt-get BADSIG GPGエラーを解決する最も簡単な方法は何ですか? ソリューションが彼にとって十分に安全かどうかを確認する時間、忍耐、または意識。代わりに、その質問の2番目の答えは、その単純さとより保証されたセキュリティのために推奨されるべきです。


関連

5
jokerdino