Por que as correções propostas do BADSIG (no apt-get update) são seguras?

8

Estou executando apt-get update e vejo erros como

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

Não é difícil encontrar instruções sobre como corrigir esses problemas, por exemplo, solicitando as novas chaves com apt-key adv --recv-keys ou reconstruindo o cache; então não estou perguntando como consertar isso.

Mas por que isso é a coisa certa a fazer? Por que "ah, preciso de novas chaves? Legal, vá buscar novas chaves" não apenas derrotando o propósito de ter um repositório assinado em primeiro lugar? As chaves são assinadas por uma chave mestra que apt-key verifica? Deveríamos estar fazendo alguma validação adicional para garantir que estamos recebendo chaves legítimas?

    
por EvanED 03.09.2012 / 05:48

1 resposta

5

Conceitos básicos relevantes sobre a ideia por trás da assinatura GPG e como ela garante um repositório assinado mais seguro:

Na minha opinião, as correções propostas não são seguras. Uma solução mais segura seria apagar tudo em /var/lib/apt/lists/ como sugerido em esta resposta. Eu sugiro isso porque < o apt automaticamente verifica a integridade do pacote e é uma solução muito livre de problemas comparada à busca de cada uma das chaves.

Isso não significa que você não deve adicionar manualmente as chaves, mas somente se você souber como verificar se as chaves são válidas. Algumas formas de verificar a integridade do pacote / validade da chave:

  • Verificação cruzada se a chave GPG já estiver listada no arquivo releases.gpg . Se já estiver disponível, você pode ter certeza de que a chave é segura porque apenas as chaves de desenvolvedores confiáveis estão incluídas no arquivo releases.gpg .
  • instale debsig-verify package ( página de manual do comando debsig-verify ). Ele verifica automaticamente a origem e a validade do próprio pacote Debian. Porém, você pode ter problemas estranhos de vez em quando, já que debsig-verify verifica assinaturas embutidas dentro dos pacotes Debian, algo que não é amplamente praticado desde o advento do seguro-apt.

Assim, a solução aceita em Qual é a maneira mais fácil de resolver os erros GPG BADSIG do apt-get? não é exatamente recomendado nem seguro para o Joe comum, já que ele provavelmente não teria tempo, paciência ou consciência para verificar se a solução é segura o suficiente para ele. Em vez disso, a segunda resposta sobre essa questão deve ser recomendada por sua simplicidade e segurança mais garantida.

Relevante :

por jokerdino 04.09.2012 / 06:33

Tags