¿Por qué las soluciones BADSIG propuestas (en la actualización de apt-get) son seguras?

Estoy corriendo apt-get updatey veo errores como

W: GPG error: http://us.archive.ubuntu.com precise Release: 
The following signatures were invalid: 
BADSIG 40976EAF437D05B5 Ubuntu Archive Automatic Signing Key <[email protected]>

No es difícil encontrar instrucciones sobre cómo solucionar estos problemas, por ejemplo, pidiendo las nuevas claves apt-key adv --recv-keyso reconstruyendo el caché; así que no estoy preguntando cómo solucionarlos.

Pero, ¿por qué es esto lo correcto? ¿Por qué "oh, necesito nuevas claves? Genial, ve a buscar nuevas claves" no solo para derrotar el propósito de tener un repositorio firmado en primer lugar. ¿Las claves están firmadas por una clave maestra que apt-keyverifica? ¿Deberíamos estar haciendo una validación adicional para asegurarnos de que obtengamos claves legítimas?

Conceptos básicos relevantes sobre la idea detrás de la firma GPG y cómo garantiza un repositorio firmado más seguro:

• ¿Cuáles son las firmas GPG? ?

En mi opinión, las soluciones propuestas no son seguras. Una solución más segura sería eliminar todo /var/lib/apt/lists/como se sugiere en esta respuesta. Sugiero esto porque, apt comprueba automáticamente la integridad del paquete y es una solución mucho más fácil en comparación con la búsqueda de cada una de las claves.

Eso no significa que no deba agregar las claves manualmente, sino solo si sabe cómo verificar si las claves son válidas. Algunas formas de verificar la integridad del paquete / validez de la clave:

• Verificación cruzada si la clave GPG ya aparece en el releases.gpgarchivo. Si ya está disponible, puede estar seguro de que la clave es segura porque solo las claves de los desarrolladores de confianza están incluidas en el releases.gpgarchivo.
• debsig-verifypaquete de instalación (página de manual para el debsig-verifycomando ). Verifica automáticamente la fuente y la validez del paquete Debian. Sin embargo, puede encontrarse con problemas extraños de vez en cuando, ya que debsig-verifyverifica las firmas integradas dentro de los paquetes de Debian, algo que no se practica ampliamente desde la llegada de secure-apt.

Entonces, la solución aceptada en ¿Cuál es la forma más fácil de resolver los errores apt-get BADSIG GPG? no es exactamente recomendado ni seguro para el Joe promedio, ya que probablemente no tendría ni el tiempo, la paciencia o la conciencia para verificar si la solución es lo suficientemente segura para él. En cambio, la segunda respuesta a esa pregunta debería recomendarse por su simplicidad y una seguridad más garantizada.

Relevante :

• ¿Qué precauciones debo tomar con .debs que encuentro en Internet?
• ¿Es seguro agregar PPA a mi sistema y cuáles son algunas de las "señales de alerta" a tener en cuenta?