Hace unas 16 horas descargué la imagen de Ubuntu 18.04.5 delanzamientos.ubuntu.comjunto con su archivo de suma de comprobación y firma GnuPG. Verificar el archivo de suma de verificación usando la firma da como resultado una advertencia de firma MALA. ¿Por qué sucede eso y debería preocuparme?
¿Qué significa exactamente una firma MALA? ¿Cuál es el siguiente paso lógico?
gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05
gpg: using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<[email protected]>" [unknown]
Respuesta1
Probablemente lo más importante es saber por qué normalmente se puede obtener este resultado de verificación. El mensaje como:gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
Por lo general, se puede obtener en caso de que faltara la clave secreta de firma en el momento en que dvd-image/dists/jammy/main/binary-amd64/Release
se firmó el archivo de "lanzamiento" del DVD Dist como en: gpg.
Posiblemente un parámetro mal escrito con la ruta a la clave secreta de firma de DVD, proporcionada en una línea de comando a un script que estaba actualizando el grupo de imágenes de DVD y luego renunciando a los archivos de lanzamiento.
Nota: La información proporcionada se basa en mi investigación y experiencia personal al crear mi propio DVD basado en instalador di para ubuntu - jammy.
Respuesta2
La firma es mala, no se puede hacer nada al respecto. Es problema de Canonical y parece que no les importa. Hubo una publicación en Reddit al respecto, pero no hubo reacción.
Mientras tanto la firma es buena.aquípero solo contiene ISO de servidor.
Nunca utilice software firmado con una firma incorrecta, podría haber sido manipulado.