O problema pode ser que você não tem a chave do repositório no seu keyring apt, como Badger diz, mas eu acho que isso é improvável. Se realmente é um espelho do repositório do Ubuntu, então ele estará usando a mesma chave, e você já deve ter as chaves necessárias. (Eu suponho que você não recebe este erro quando você usa um dos espelhos padrão.)
Isso significa que seu espelho provavelmente não está assinado corretamente, o que pode ser porque você não o espelhou da maneira correta. Há uma sequência específica que você precisa usar para evitar uma cópia inconsistente se uma atualização de repositório ocorrer enquanto você está copiando. Dado o tempo que demora, isso é bastante provável, especialmente na cópia inicial, em vez de uma atualização. A página da web Espelhamento por push da Debian explica como fazê-lo com ferramentas do dia a dia, como rsync
, mas ainda é melhor usar uma ferramenta dedicada como apt-mirror
.
A maneira como a assinatura do repo funciona é que há um arquivo Release
de nível superior no diretório dist (por exemplo, dists/lucid
) que é assinado ( Release.gpg
). Isso contém hashes de todos os outros arquivos de índice (por exemplo, main/binary-i386/Packages
), que por sua vez contêm hashes do próprio arquivo de pacote. Portanto, se algum dos hashes estiver desatualizado, toda a verificação de recompra falhará. O Debian Secure Apt explica os detalhes.