Debian / Ubuntu 等等預設使用 apt 系統的 distributions 全面支援 gpg 簽章檢查，這對電腦安全來說絕對是一件好事。

但問題是，許多 end users，甚至是 advanced users，居然隨隨便便就信任阿貓阿狗提供的 gpg key，導致這個安全屏障形同虛設。

而且很多愚蠢的 advanced users 還到處教新手們亂加 gpg key。

 

首先談談 gpg 的問題：

1. 任何人都可以隨意申請 N 個 gpg key

2. 任何 email 都很容易偽造

3. gpg key 雖然安全強度可以很高（也可以很低），但保護它的通常也只是一個簡單的 password / passphrase。也就是說，只要你弄到某個人的 gpg data (例如 $HOME/.gnupg)，並得到他使用的 password / passphrase，你就可以用他的 gpg 簽章。

4. 即使弄不到真正的 gpg data and password / passphrase，也可以用假的 gpg key 冒充

 

因為有以上問題，所以 gpg 必須有個 web of trust，只有在 web of trust 裡的 gpg key 才是比較值得信任的（並不是絕對可以信任）。

Debian Developers 的 gpg key 在 web of trust 裡的可信度很高，但是仍須注意：

1. gpg key 簽章只是證明「此份資料是用這個 key 簽過的」（在正常狀況下，代表是這個人簽過的）（在非正常狀況，可能這個 key 被盜了…）

2. gpg key 只是證明「是這個人簽過的」，不代表它提供的 data 正確、安全、沒 bug。

 

是人就會有錯誤，Debian Developers 也是良莠不齊，所以就連 Debian 官方提供的 key 都不能絕對信任了（只是比較值得信任），更何況其它一堆阿貓阿狗提供的 key。

 

回到 apt + gpg 的問題：

1. 非官方套件庫的 gpg key 本來就很不值得信任，未經判斷就加入那些 key 是非常腦殘的行為

2. 不需要加入那些 key 也可以安裝，而且會有警告訊息，讓 user 有心裡準備，知道那些套件是來自「不可信任」的地方

3. 非官方套件庫往往提供了跟官方套件庫重覆但版本不同的東西，容易造成相衝、各種系統問題

 

最後提醒大家，不要以為電腦高手的安全意識就很強。電腦的相關知識實在太廣博了，許多所謂的高手甚至連基本的電腦安全防護都沒做到（因為要做到很累，而人類都很懶）。

另外，很多熱門的漏洞是有時效性的，如果某高手剛好那陣子沒看新聞，很可能系統就被攻破了，gpg data 被人家拿了還不知道。

（例如知名的 debian ssh 漏洞、debian udev 漏洞）

某些 Debian Developers 因為種種原因變得不再活動，但他們的 data 都還存在網路上，萬一資料被拿走，就可能有人冒充他們的身份。

 

1+2

其實,不管有沒有加入key,安裝來路不明的東西(不然你幹麼要加入來路不明的key),又去執行了,系統就暴露在危險中了。

來路不明的人不需要去在Debian的server上面放一個被他簽過的軟體給你下載...只要在他的網站上面放一個木馬給你用就好。

 

gpg要保護的時機是,當apt server被駭了,但是人家沒有key所以簽不出你原本信任的套件... 

懂安全的就懂，不懂的還是不懂。

1. 亂加 key 絕對是錯誤的，只有值得信任的 key 才值得加。

2. 該看的 warning / log 就要看，什麼都不看那就等於是沒有 warning / log (apt 沒加 key 的話，遇到無法信任的會警告)

3. 這年頭很難避免用來路不明的軟體，即使是來路很明的軟體也未必沒問題（debian ssh / udev 事件；win32 一堆原廠軟體都附送病毒）。

4. 在 Un*x 裡面，只要權限設定好，試用來路不明的軟體不會有什麼大問題

5. 在使用來路不明的軟體前，可以先檢查啊