Perché le correzioni BADSIG proposte (su apt-get update) sono sicure?

8

Sto correndo apt-get updatee vedo errori come

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

Non è difficile trovare istruzioni su come risolvere questi problemi, ad esempio chiedendo le nuove chiavi apt-key adv --recv-keyso ricostruendo la cache; quindi non sto chiedendo come risolverli.

Ma perché è questa la cosa giusta da fare? Perché "oh, ho bisogno di nuove chiavi? Fantastico, vai a prendere nuove chiavi" non solo sconfiggendo lo scopo di avere un repository firmato in primo luogo? Le chiavi sono firmate da una chiave principale che apt-keycontrolla? Dovremmo fare qualche ulteriore convalida per assicurarci di ottenere chiavi legittime?

apt  security 
EvanED
fonte

Risposte:

5

Concetti di base pertinenti sull'idea alla base della firma GPG e su come garantisce un repository firmato più sicuro:

Secondo me, le correzioni proposte non sono sicure. Una soluzione più sicura sarebbe quella di esplodere tutto /var/lib/apt/lists/come suggerito in questa risposta. Lo consiglio perché apt controlla automaticamente l'integrità del pacchetto ed è una soluzione molto semplice rispetto alla ricerca di ciascuna chiave.

Ciò non significa che non dovresti aggiungere manualmente le chiavi, ma solo se sai come verificare se le chiavi sono valide. Alcuni modi per verificare l'integrità del pacchetto / validità della chiave:

  • Controllo incrociato se la chiave GPG è già elencata nel releases.gpgfile. Se è già disponibile, puoi essere certo che la chiave è sicura perché nel releases.gpgfile sono incluse solo le chiavi di sviluppatori fidati .
  • installa debsig-verifypacchetto ( manpage per il debsig-verifycomandoIcona Manpage ). Verifica automaticamente l'origine e la validità del pacchetto Debian stesso. Tuttavia, di tanto in tanto potresti imbatterti in strani problemi poiché debsig-verifycontrolla le firme incorporate nei pacchetti Debian, cosa che non è ampiamente praticata dall'avvento di secure-apt.

Quindi, la soluzione accettata in Qual è il modo più semplice per risolvere errori GPG apt-get BADSIG? non è esattamente raccomandato né sicuro per il medio Joe, poiché probabilmente non avrebbe né il tempo, la pazienza o la consapevolezza per verificare se la soluzione è abbastanza sicura per lui. Invece, la seconda risposta su quella domanda dovrebbe essere raccomandata per la sua semplicità e una sicurezza più garantita.

Rilevante :

jokerdino
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.