제안 된 BADSIG (Apt-get 업데이트시) 수정이 안전한 이유는 무엇입니까?

8

실행 중이며 다음 apt-get update과 같은 오류가 표시됩니다.

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

캐시로 새 키를 요청 하거나 캐시를 다시 작성하여 이러한 문제를 해결 하는 방법대한 지침을 찾는 것은 어렵지 않습니다 apt-key adv --recv-keys. 그래서 나는 이것을 고치는 방법에 대해 묻지 않습니다.

그러나 이것이 왜 옳은 일입니까? "아, 새 키가 필요한가요? 멋진 키를 가져 가세요"가 왜 ​​서명 된 리포지토리를 처음부터 구축하려는 목적을 어기는 것입니까? 키는 apt-key검사 하는 마스터 키로 서명되어 있습니까? 합법적 인 키를 얻도록 추가 검증을 수행해야합니까?

apt  security 
에반 드
소스

답변:

5

GPG 서명의 기본 개념과보다 안전한 서명 된 저장소를 보장하는 방법에 대한 관련 기본 개념 :

제 생각에 제안 된 수정 프로그램은 안전하지 않습니다. 더 안전한 해결책은 이 답변/var/lib/apt/lists/ 에서 제안한대로 모든 것을 날려 버리는 것입니다 . apt는 패키지의 무결성을 자동으로 확인 하고 각 키를 찾아내는 것보다 훨씬 쉬운 솔루션 이기 때문에 이것을 제안 합니다.

그렇다고해서 수동으로 키를 추가해서는 안되며 키가 유효한지 확인하는 방법 만 알고 있어야합니다. 패키지의 무결성을 확인하는 몇 가지 방법 / 키의 유효성 :

  • GPG 키가 releases.gpg파일에 이미 있는지 확인 하십시오. 이미 사용 가능한 경우 신뢰할 수있는 개발자의 키만 releases.gpg파일에 포함되므로 키가 안전하다는 것을 확신 할 수 있습니다 .
  • debsig-verify패키지 설치 ( 명령의 맨 페이지debsig-verify맨 페이지 아이콘 ). 데비안 패키지 자체의 소스와 유효성을 자동으로 확인합니다. 그러나 debsig-verify데비안 패키지에 내장 된 서명을 확인한 이후로 때때로 이상한 문제가 발생할 수 있습니다 .

그렇다면 apt-get BADSIG GPG 오류를 해결하는 가장 쉬운 방법은 무엇입니까? 솔루션에 대한 보안이 충분한 지 확인하는 데 시간, 인내 또는 인식이 없을 것이므로 평균 Joe에게는 정확히 권장되거나 보안되지 않습니다. 대신, 그 질문에 대한 두 번째 대답은 단순성과보다 확실한 보안을 위해 권장되어야합니다.

관련 :

조커 디노
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.