我正在运行apt-get update,我看到类似的错误
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
不难找到有关如何解决这些问题的说明,例如通过请求新密钥apt-key adv --recv-keys或重建缓存;所以我不是在问如何解决这些问题。
但为什么这是正确的做法呢?为什么“哦,我需要新密钥?很酷,去获取新密钥”而不是一开始就违背了拥有签名存储库的目的?密钥是否由apt-key检查的主密钥签名?我们是否应该进行一些额外的验证以确保我们获得合法的密钥?