Около 16 часов назад я скачал образ Ubuntu 18.04.5 с сайтаreleases.ubuntu.comвместе с его файлом контрольной суммы и подписью GnuPG. Проверка файла контрольной суммы с помощью подписи приводит к предупреждению BAD signature. Почему это происходит и стоит ли мне беспокоиться?
Что именно означает BAD signature? Какой следующий логический шаг?
gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05
gpg: using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<[email protected]>" [unknown]
решение1
Вероятно, важнее знать, почему обычно можно получить этот результат проверки. Сообщение типа:gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
обычно это можно сделать в случае, если секретный ключ подписи отсутствовал на момент, когда файл dvd dist "Release" dvd-image/dists/jammy/main/binary-amd64/Releaseбыл подписан gpg.
Возможно, неправильно введен параметр с путем к секретному ключу подписи DVD, указанному в командной строке скрипта, который обновлял пул образов DVD, а затем повторно подписывал файлы релиза.
Примечание: предоставленная информация основана на моих исследованиях и личном опыте создания собственного установочного DVD-диска на основе di для Ubuntu - jammy.
решение2
Подпись плохая, ничего не поделаешь. Это проблема Canonical, и похоже, что им все равно. На reddit был пост об этом, но никакой реакции.
В то же время подпись хороша.здесьно он содержит только серверные ISO-образы.
Никогда не используйте подписанное программное обеспечение с плохой подписью, оно могло быть подделано.