Por que as correções propostas do BADSIG (na atualização do apt-get) são seguras?

Estou correndo apt-get updatee vejo erros como

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>

Não é difícil encontrar instruções sobre como corrigir esses problemas, por exemplo, solicitando as novas chaves apt-key adv --recv-keysou reconstruindo o cache; então eu não estou perguntando sobre como consertar isso.

Mas por que isso é a coisa certa a fazer? Por que "oh, eu preciso de novas chaves? Legal, vá buscar novas chaves", não apenas derrotando o propósito de ter um repositório assinado em primeiro lugar? As chaves são assinadas por uma chave mestra que apt-keyverifica? Deveríamos estar fazendo alguma validação adicional para garantir que estamos recebendo chaves legítimas?

Conceitos básicos relevantes sobre a idéia por trás da assinatura GPG e como ela garante um repositório assinado mais seguro:

• O que são assinaturas GPG ?

Na minha opinião, as correções propostas não são seguras. Uma solução mais segura seria expor tudo /var/lib/apt/lists/conforme sugerido nesta resposta. Eu sugiro isso porque, o apt verifica automaticamente a integridade do pacote e é uma solução sem complicações, em comparação com a busca de cada uma das chaves.

Isso não significa que você não deve adicionar manualmente as chaves, mas apenas se você souber como verificar se as chaves são válidas. Algumas maneiras de verificar a integridade do pacote / validade da chave:

• Verificação cruzada se a chave GPG já está listada no releases.gpgarquivo. Se já estiver disponível, você pode ter certeza de que a chave está segura porque apenas as chaves de desenvolvedores confiáveis ​​estão incluídas no releases.gpgarquivo.
• instale o debsig-verifypacote (página de manual do debsig-verifycomando ). Ele verifica automaticamente a fonte e a validade do próprio pacote Debian. Porém, você pode ter problemas estranhos de tempos em tempos, desde que debsig-verifycheca por assinaturas embutidas nos pacotes Debian, algo que não é amplamente praticado desde o advento do secure-apt.

Portanto, a solução aceita em Qual é a maneira mais fácil de resolver os erros do apt-get BADSIG GPG? não é exatamente recomendado nem seguro para o Joe comum, pois ele provavelmente não teria tempo, paciência ou consciência para verificar se a solução é suficientemente segura para ele. Em vez disso, a segunda resposta a essa pergunta deve ser recomendada por sua simplicidade e segurança mais garantida.

Relevante :

• Que precauções devo tomar com .debs que encontro na internet?
• Os PPAs são seguros para adicionar ao meu sistema e quais são algumas das "bandeiras vermelhas" a serem observadas?