Je cours apt-get update
et je vois des erreurs comme
W: GPG error: http://us.archive.ubuntu.com precise Release:
The following signatures were invalid:
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
Il n'est pas difficile de trouver des instructions sur la façon de résoudre ces problèmes, par exemple en demandant les nouvelles clés avec apt-key adv --recv-keys
ou en reconstruisant le cache; donc je ne demande pas comment les corriger.
Mais pourquoi est-ce la bonne chose à faire? Pourquoi "oh, j'ai besoin de nouvelles clés? Cool, allez chercher de nouvelles clés" ne va pas seulement à l'encontre du but d'avoir un référentiel signé en premier lieu? Les clés sont-elles signées par une clé principale qui apt-key
vérifie? Devrions-nous faire une validation supplémentaire pour nous assurer d'obtenir des clés légitimes?