Saya sedang menjalankan apt-get update
, dan saya melihat kesalahan seperti
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
Tidak sulit menemukan petunjuk tentang cara memperbaiki masalah ini, misalnya dengan meminta kunci baru dengan apt-key adv --recv-keys
atau membangun kembali cache; jadi saya tidak bertanya bagaimana cara memperbaikinya.
Tetapi mengapa ini hal yang benar untuk dilakukan? Mengapa "oh, saya perlu kunci baru? Keren, pergi ambil kunci baru" tidak hanya mengalahkan tujuan memiliki repositori yang ditandatangani di tempat pertama? Apakah kunci ditandatangani oleh kunci master yang apt-key
memeriksa? Haruskah kita melakukan beberapa validasi tambahan untuk memastikan bahwa kita mendapatkan kunci yang sah?