Działam apt-get update
i widzę błędy takie jak
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>
Nietrudno znaleźć instrukcje, jak rozwiązać te problemy, na przykład pytając o nowe klucze apt-key adv --recv-keys
lub odbudowując pamięć podręczną; więc nie pytam o to, jak to naprawić.
Ale dlaczego to jest właściwe? Dlaczego „och, potrzebuję nowych kluczy? Fajnie, idź zdobyć nowe klucze”, nie tylko po to, by pokonać cel posiadania podpisanego repozytorium? Czy klucze są podpisane przez klucz główny, który apt-key
sprawdza? Czy powinniśmy przeprowadzić dodatkową weryfikację, aby upewnić się, że otrzymujemy legalne klucze?