Az apt-key alkalmazás úgy működik, hogy hozzáadja a kulcsokat az /etc/apt/ útvonalon lakó trusted.gpg fájlhoz. Az apt csomagkezelő megbízik a fájlban lévő kulcsokban.

Jól hangzik, igaz? Felfedezték azonban, hogy ez potenciális biztonsági probléma. A rendszer teljes mértékben megbízik ezekben a kulcsokban, de nem csak azokban a csomagoknál, amelyekhez hozzáadta azokat.

A Thunderdbird 78-as kiadásától az OpenPGP támogatást már nem az Enigmail kiegészítő biztosítja, a levelező kiszolgálóba bekerült a végpontok közötti titkosítás, és a GNU Privacy Guard (GnuPG vagy GPG) használatát felváltotta az RNP.

Ha Debian rendszerre próbálsz mostanában (Debian Stretch) PPA-t felvenni, akkor az alábbi hibát kapod,

Az alábbi aláírások nem ellenőrizhetők, mert a nyilvános kulcs nem érhető el: NO_PUBKEY 'számok+betűk'
W: A(z) „http://ppa.launchpad.net/.../ubuntu xenial InRelease” tároló nincs aláírva.
N: Az ilyen tárolóból való adatok nem hitelesíthetők, így használatuk veszélyes lehet.

... és a telepítési kísérletkor, a rendszer megkérdezi, hogy tényleg hitelesítés nélkül telepíted a PPA-ról származó csomagokat.