答え#1:それはその設計におけるセキュリティメカニズムです。APTは人間ではなく、何を誰が信頼するかを知りません。信頼できる人のキーリングにのみキーをインポートします。GPG検証は、パッケージコンテンツに対する中間者攻撃を防ぎ、アーカイブ/リポジトリにアップロードされたときと同じ状態にあるパッケージの整合性を検証します。このように、公式ミラーの管理者でさえ、あなたが気付かないうちにファイルを改ざんすることはできません。この質問も参照してください。
そして#2:いくつかのキーはインストール時にインストールされます。DebianアーカイブとDebian開発者のメインキーはパッケージdebian-keyring
に含まれており、aptで使用するために信頼できるものとしてマークされています。
目標に戻ります-これらのエラーなしで独自のDebianパッケージリポジトリを維持します。最善の解決策は、アーカイブ内のすべてのパッケージに署名し、リポジトリのユーザーに公開鍵をインストールさせることです。これが通常の動作方法です。たとえば、VirtualBox.orgがこれを処理する方法を参照してください。
いくつかのランダムな落とし穴:新しいキーを追加した後、実行apt-get update
(または)することを忘れないでください。aptitude update
Ubuntuを使用していて、自由なソフトウェアを構築している場合は、PPAの使用を検討してください。UbuntuのPPA(Personal Package Archives)には、検証に使用されるGPGキーとともにリポジトリをインストールするための使いやすいスクリプトが付属しています。(apt-add-repository ppa:my-ppa/myarchive
)
一部のWebサイトでは、構成を設定してAPTの検証を無効にする方法について言及しAPT::Get::AllowUnauthenticated yes;
ています。すべてのリポジトリに影響するため、これを行うことはお勧めしません。