Tại sao bản sửa lỗi BADSIG (trên bản cập nhật apt-get) được đề xuất lại an toàn?

8

Tôi đang chạy apt-get updatevà tôi thấy các lỗi như

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

Chẳng hạn, không khó để tìm thấy hướng dẫn về cách khắc phục các sự cố này, bằng cách yêu cầu các khóa mới với apt-key adv --recv-keyshoặc xây dựng lại bộ đệm; Vì vậy, tôi không hỏi về cách khắc phục.

Nhưng tại sao điều này là đúng để làm? Tại sao "oh, tôi cần khóa mới? Tuyệt, đi lấy khóa mới" không chỉ đánh bại mục đích có một kho lưu trữ đã ký ở nơi đầu tiên? Là các khóa được ký bởi một khóa chủ apt-keykiểm tra? Chúng ta có nên thực hiện một số xác nhận bổ sung để đảm bảo rằng chúng ta nhận được các khóa hợp pháp không?

apt  security 
Trốn tránh
nguồn

Câu trả lời:

5

Các khái niệm cơ bản có liên quan về ý tưởng đằng sau chữ ký GPG và cách nó đảm bảo kho lưu trữ được ký an toàn hơn:

Theo tôi, các bản sửa lỗi được đề xuất không an toàn. Một giải pháp an toàn hơn sẽ là thổi bay mọi thứ /var/lib/apt/lists/theo gợi ý trong câu trả lời này. Tôi đề nghị điều này bởi vì, apt tự động kiểm tra tính toàn vẹn của gói và là một giải pháp không rắc rối hơn nhiều so với việc tìm kiếm từng phím.

Điều đó không có nghĩa là bạn không nên thêm các khóa theo cách thủ công mà chỉ khi bạn biết cách kiểm tra xem các khóa có hợp lệ không. Một số cách kiểm tra tính toàn vẹn của gói / tính hợp lệ của khóa:

  • Kiểm tra chéo nếu khóa GPG đã được liệt kê trong releases.gpgtệp. Nếu nó đã có sẵn, bạn có thể yên tâm rằng khóa này an toàn vì chỉ có các khóa của nhà phát triển đáng tin cậy được bao gồm trong releases.gpgtệp.
  • cài đặt debsig-verifygói ( manpage cho debsig-verifylệnhBiểu tượng trang ). Nó tự động xác minh nguồn và tính hợp lệ của chính gói Debian. Mặc dù, thỉnh thoảng bạn có thể gặp phải các vấn đề kỳ lạ kể từ khi debsig-verifykiểm tra chữ ký được nhúng bên trong các gói Debian, một điều không được thực hiện rộng rãi kể từ khi có an toàn-apt.

Vì vậy, giải pháp được chấp nhận tại Cách dễ nhất để giải quyết các lỗi GPG apt-get BADSIG là gì? không chính xác được đề nghị cũng như không an toàn cho Joe trung bình, vì anh ta có lẽ sẽ không có thời gian, sự kiên nhẫn hoặc nhận thức để kiểm tra xem giải pháp có đủ an toàn cho anh ta không. Thay vào đó, câu trả lời thứ hai cho câu hỏi đó nên được đề xuất vì tính đơn giản và bảo mật cao hơn.

Có liên quan :

jokerdino
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.