Estou correndo apt-get update
e vejo erros como
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>
Não é difícil encontrar instruções sobre como corrigir esses problemas, por exemplo, solicitando as novas chaves apt-key adv --recv-keys
ou reconstruindo o cache; então eu não estou perguntando sobre como consertar isso.
Mas por que isso é a coisa certa a fazer? Por que "oh, eu preciso de novas chaves? Legal, vá buscar novas chaves", não apenas derrotando o propósito de ter um repositório assinado em primeiro lugar? As chaves são assinadas por uma chave mestra que apt-key
verifica? Deveríamos estar fazendo alguma validação adicional para garantir que estamos recebendo chaves legítimas?