Por que as correções propostas do BADSIG (no apt-get update) são seguras?

Question

Por que as correções propostas do BADSIG (no apt-get update) são seguras?

#1 resposta do jokerdino (5 votos)

8

Estou executando apt-get update e vejo erros como

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

Não é difícil encontrar instruções sobre como corrigir esses problemas, por exemplo, solicitando as novas chaves com apt-key adv --recv-keys ou reconstruindo o cache; então não estou perguntando como consertar isso.

Mas por que isso é a coisa certa a fazer? Por que "ah, preciso de novas chaves? Legal, vá buscar novas chaves" não apenas derrotando o propósito de ter um repositório assinado em primeiro lugar? As chaves são assinadas por uma chave mestra que apt-key verifica? Deveríamos estar fazendo alguma validação adicional para garantir que estamos recebendo chaves legítimas?

apt security

por EvanED 03.09.2012 / 05:48

1 resposta

Tags apt security

O que deve ser o tempo limite de writeback da VM para um laptop? Como detectar a temperatura correta do processador em conky

score 5 · Answer 1

Conceitos básicos relevantes sobre a ideia por trás da assinatura GPG e como ela garante um repositório assinado mais seguro:

Quais são as assinaturas GPG ?

Na minha opinião, as correções propostas não são seguras. Uma solução mais segura seria apagar tudo em /var/lib/apt/lists/ como sugerido em esta resposta. Eu sugiro isso porque < o apt automaticamente verifica a integridade do pacote e é uma solução muito livre de problemas comparada à busca de cada uma das chaves.

Isso não significa que você não deve adicionar manualmente as chaves, mas somente se você souber como verificar se as chaves são válidas. Algumas formas de verificar a integridade do pacote / validade da chave:

Verificação cruzada se a chave GPG já estiver listada no arquivo releases.gpg . Se já estiver disponível, você pode ter certeza de que a chave é segura porque apenas as chaves de desenvolvedores confiáveis estão incluídas no arquivo releases.gpg .
instale debsig-verify package ( página de manual do comando debsig-verify ). Ele verifica automaticamente a origem e a validade do próprio pacote Debian. Porém, você pode ter problemas estranhos de vez em quando, já que debsig-verify verifica assinaturas embutidas dentro dos pacotes Debian, algo que não é amplamente praticado desde o advento do seguro-apt.

Assim, a solução aceita em Qual é a maneira mais fácil de resolver os erros GPG BADSIG do apt-get? não é exatamente recomendado nem seguro para o Joe comum, já que ele provavelmente não teria tempo, paciência ou consciência para verificar se a solução é segura o suficiente para ele. Em vez disso, a segunda resposta sobre essa questão deve ser recomendada por sua simplicidade e segurança mais garantida.

Relevante :