Why do I need to add a GPG-key with apt-key before adding a download URL to apt/sources and downloading-installing with apt-get install?
O motivo é simples: segurança.
Primeiro, se você não fizer isso, apt-get update
reclamará que algumas chaves não foram encontradas e baixou as listas de pacotes "não confiáveis". Se você fizer apt-get install
, ele perguntará duas vezes com letras grandes que você está instalando pacotes de fontes não confiáveis. Para qualquer usuário, este aviso seria alarmante (se eles forem lidos), então para evitar "Como resolver 'NOPUBKEY' encontrado" e questões similares, os proprietários de repositórios geralmente incluem como adicionar suas chaves antes mesmo de iniciar para que os usuários não percam este passo.
Segundo, se você perder esta etapa e ignorar o aviso, a segurança estará incompleta. Você fez o download de uma lista de pacotes de um site que não foi verificado. Qualquer rachadura pode ter sido explorada por alguém, enganando você para instalar softwares maliciosos. Se você adicionou as chaves desde o início, você terá transações seguras de ponta a ponta com o mantenedor do repositório.
Em terceiro lugar, quando você adiciona uma chave, isso significa que você confia nessa chave. Você diz que o sistema que você confia na pessoa que se identifica com essa chave, e você deseja instalar o software dele.