Около 16 часов назад я загрузил образ Ubuntu 18.04.5 с releases.ubuntu.com вместе с файлом контрольной суммы и подписью GnuPG. Проверка файла контрольной суммы с помощью подписи приводит к появлению предупреждения о подписи BAD. Почему это происходит и мне следует беспокоиться?
Что именно означает ПЛОХАЯ подпись? Каков следующий логический шаг?
gpg: Signature made Thu 13 Aug 2020 08:02:20 PM +05
gpg: using RSA key 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012)
<cdimage@ubuntu.com>" [unknown]
Подпись плохая, ничего не поделаешь. Это каноническая проблема, и, похоже, никого не волнует. На Reddit было сообщение об этом, никакой реакции.
А пока подпись хороша http://cdimage.ubuntu.com/releases/18.04.5/release/ , но она содержит только server isos.
Следующий логический шаг - никогда не использовать подписанное программное обеспечение с плохой подписью. Его можно было подделать.