Can anyone break the cycle for me?
Você está basicamente experimentando o problema de bootstrap padrão para criptografia de chave pública .
Existem muitos locais onde você pode baixar as chaves públicas dos vários arquivos, mas freqüentemente eles não são fornecidos por HTTPS, e qualquer arquivo de soma de verificação é entregue no mesmo local.
Esse link do wiki forneceu links para o link que fornece uma cópia das chaves que você pode baixar SSL. O problema, claro, é que o certificado para ftp-master.debian.org é assinado por ca.debian.org, que não é distribuído com os navegadores mais comuns.
Você basicamente tem que encontrar uma maneira de obter uma cópia do keyring debian-archive, ou a chave atual do sistema em que você confia, e instalá-lo em seu sistema. Se você é realmente paranóico, você pode ter que pegar uma cópia do arquivo e fazer com que outra pessoa pegue uma cópia de outro espelho em um computador diferente em uma rede diferente. Em seguida, compare os checksums.
Se você não é extremamente paranóico ou em um ambiente de alta segurança, deixe apt-get install debian-archive-keyring
install e ignore o aviso.
Seria preciso muito esforço para alguém configurar um MITM entre você e o espelho aleatório http.us.debian.org. Uma vez que eles fizeram isso, eles teriam que construir seu próprio pacote de chaveiro debian-archive-key, incluindo sua chave maligna, além das chaves padrão. Então eles teriam que reconstruir alguns pacotes para forçá-lo a instalar algo maligno em seu sistema. O esforço envolvido não seria trivial.
Geralmente o Debian faz um bom trabalho ao adicionar chaves que serão usadas para assinar os pacotes no futuro para o pacote debian-archive-keyring. Esse é um pacote que você realmente quer manter atualizado. Dessa forma, você irá digitar as chaves instaladas antes de serem usadas para assinar as coisas, e você não terá esse problema no futuro.