Conceitos básicos relevantes sobre a ideia por trás da assinatura GPG e como ela garante um repositório assinado mais seguro:
Na minha opinião, as correções propostas não são seguras. Uma solução mais segura seria apagar tudo em /var/lib/apt/lists/
como sugerido em esta resposta. Eu sugiro isso porque < o apt automaticamente verifica a integridade do pacote e é uma solução muito livre de problemas comparada à busca de cada uma das chaves.
Isso não significa que você não deve adicionar manualmente as chaves, mas somente se você souber como verificar se as chaves são válidas. Algumas formas de verificar a integridade do pacote / validade da chave:
-
Verificação cruzada se a chave GPG já estiver listada no arquivo
releases.gpg
. Se já estiver disponível, você pode ter certeza de que a chave é segura porque apenas as chaves de desenvolvedores confiáveis estão incluídas no arquivoreleases.gpg
. - instale
debsig-verify
package ( página de manual do comandodebsig-verify
). Ele verifica automaticamente a origem e a validade do próprio pacote Debian. Porém, você pode ter problemas estranhos de vez em quando, já quedebsig-verify
verifica assinaturas embutidas dentro dos pacotes Debian, algo que não é amplamente praticado desde o advento do seguro-apt.
Assim, a solução aceita em Qual é a maneira mais fácil de resolver os erros GPG BADSIG do apt-get? não é exatamente recomendado nem seguro para o Joe comum, já que ele provavelmente não teria tempo, paciência ou consciência para verificar se a solução é segura o suficiente para ele. Em vez disso, a segunda resposta sobre essa questão deve ser recomendada por sua simplicidade e segurança mais garantida.
Relevante :