大约 16 小时前,我从发布以及其校验和文件和 GnuPG 签名。使用签名验证校验和文件会导致 BAD 签名警告。为什么会发生这种情况?我应该担心吗?
糟糕的签名到底意味着什么?下一步该怎么做?
gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05
gpg: using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<[email protected]>" [unknown]
答案1
可能更重要的是知道为什么通常可以得到这个验证结果。消息如下:gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
通常,如果在 dvd dist“发布”文件时缺少签名密钥,则可以得到以下信息:dvd-image/dists/jammy/main/binary-amd64/Release已进行 gpg 签名。
可能是在脚本的命令行中输入了错误的 DVD 签名密钥路径参数,该脚本正在升级 DVD 映像池,然后重新签署发布文件。
注意:所提供的信息是基于我的研究和个人经验,为 ubuntu - jammy 创建了我自己的基于 di 安装程序的 DVD。
答案2
签名很糟糕,你对此无能为力。这是 Canonical 的问题,他们似乎并不关心。reddit 上有一篇关于此问题的帖子,但没有回应。
与此同时,签名是好的这里但它仅包含服务器 ISO。
切勿使用签名错误的软件,因为它可能已被篡改。