BAD 署名とは具体的に何を意味しますか?

BAD 署名とは具体的に何を意味しますか?

約16時間前にUbuntu 18.04.5イメージをダウンロードしました。リリースチェックサム ファイルと GnuPG 署名と一緒にあります。署名を使用してチェックサム ファイルを検証すると、署名が不適切であるという警告が表示されます。なぜこのようなことが起こるのでしょうか。心配する必要があるのでしょうか。

BAD 署名は正確には何を意味しますか? 次の論理的なステップは何ですか?

gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05 
gpg:              using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<[email protected]>" [unknown]

答え1

おそらくもっと重要なのは、なぜこの検証結果が通常得られるのかを知ることです。次のようなメッセージ:gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)

dvd-image/dists/jammy/main/binary-amd64/Release通常、DVD 配布の「リリース」ファイルがGPG 署名された時点で署名秘密キーが欠落していた場合に取得できます。

おそらく、DVD イメージ プールをアップグレードしてからリリース ファイルを再署名するスクリプトのコマンドラインで指定された DVD 署名秘密キーへのパスのパラメータが誤って入力された可能性があります。

注: 提供される情報は、Ubuntu - Jammy 用の独自の DI ベースのインストーラー ベースの DVD を作成した私の調査と個人的な経験に基づいています。

答え2

署名が間違っているので、どうすることもできません。これは Canonical の問題ですが、彼らは気にしていないようです。これについて Reddit に投稿がありましたが、反応はありませんでした。

その間、署名は良いですここただし、サーバー ISO のみが含まれています。

不正な署名が付いた署名済みソフトウェアは絶対に使用しないでください。改ざんされている可能性があります。

関連情報