Estoy corriendo apt-get update
y veo errores como
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
No es difícil encontrar instrucciones sobre cómo solucionar estos problemas, por ejemplo, pidiendo las nuevas claves apt-key adv --recv-keys
o reconstruyendo el caché; así que no estoy preguntando cómo solucionarlos.
Pero, ¿por qué es esto lo correcto? ¿Por qué "oh, necesito nuevas claves? Genial, ve a buscar nuevas claves" no solo para derrotar el propósito de tener un repositorio firmado en primer lugar. ¿Las claves están firmadas por una clave maestra que apt-key
verifica? ¿Deberíamos estar haciendo una validación adicional para asegurarnos de que obtengamos claves legítimas?