Что именно означает ПЛОХАЯ подпись?

Что именно означает ПЛОХАЯ подпись?

Около 16 часов назад я скачал образ Ubuntu 18.04.5 с сайтаreleases.ubuntu.comвместе с его файлом контрольной суммы и подписью GnuPG. Проверка файла контрольной суммы с помощью подписи приводит к предупреждению BAD signature. Почему это происходит и стоит ли мне беспокоиться?

Что именно означает BAD signature? Какой следующий логический шаг?

gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05 
gpg:              using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092 
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<[email protected]>" [unknown]

решение1

Вероятно, важнее знать, почему обычно можно получить этот результат проверки. Сообщение типа:gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)

обычно это можно сделать в случае, если секретный ключ подписи отсутствовал на момент, когда файл dvd dist "Release" dvd-image/dists/jammy/main/binary-amd64/Releaseбыл подписан gpg.

Возможно, неправильно введен параметр с путем к секретному ключу подписи DVD, указанному в командной строке скрипта, который обновлял пул образов DVD, а затем повторно подписывал файлы релиза.

Примечание: предоставленная информация основана на моих исследованиях и личном опыте создания собственного установочного DVD-диска на основе di для Ubuntu - jammy.

решение2

Подпись плохая, ничего не поделаешь. Это проблема Canonical, и похоже, что им все равно. На reddit был пост об этом, но никакой реакции.

В то же время подпись хороша.здесьно он содержит только серверные ISO-образы.

Никогда не используйте подписанное программное обеспечение с плохой подписью, оно могло быть подделано.

Связанный контент