Vor etwa 16 Stunden habe ich das Ubuntu 18.04.5-Image heruntergeladen vonrelease.ubuntu.comzusammen mit der Prüfsummendatei und der GnuPG-Signatur. Das Überprüfen der Prüfsummendatei anhand der Signatur führt zu einer Warnung „FEHLE Signatur“. Warum passiert das und muss ich mir Sorgen machen?
Was genau bedeutet eine SCHLECHTE Signatur? Was ist der nächste logische Schritt?
gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05
gpg: using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<[email protected]>" [unknown]
Antwort1
Wahrscheinlich ist es wichtiger zu wissen, warum man normalerweise dieses Verifizierungsergebnis erhält. Die Meldung lautet:gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
Dies kann man normalerweise erreichen, wenn der geheime Signaturschlüssel zu dem Zeitpunkt fehlte, als die DVD-Dist-"Release"-Datei wie in: dvd-image/dists/jammy/main/binary-amd64/Release
mit GPG signiert wurde.
Möglicherweise handelt es sich um einen falsch eingegebenen Parameter mit dem Pfad zum geheimen Schlüssel zum Signieren der DVD, der in einer Befehlszeile an ein Skript übergeben wurde, das den DVD-Image-Pool aktualisierte und anschließend die Release-Dateien neu signierte.
Hinweis: Die bereitgestellten Informationen basieren auf meiner Recherche und meinen persönlichen Erfahrungen beim Erstellen meiner eigenen, auf Di basierenden Installations-DVD für Ubuntu – Jammy.
Antwort2
Die Signatur ist schlecht, dagegen kann man nichts tun. Es ist Canonicals Problem und es scheint, als wäre es ihnen egal. Es gab einen Beitrag auf Reddit dazu, aber keine Reaktion.
In der Zwischenzeit ist die Signatur gutHieraber es enthält nur Server-ISOs.
Verwenden Sie niemals signierte Software mit einer fehlerhaften Signatur, diese könnte manipuliert worden sein.