Az apt-key alkalmazás úgy működik, hogy hozzáadja a kulcsokat az /etc/apt/ útvonalon lakó trusted.gpg fájlhoz. Az apt csomagkezelő megbízik a fájlban lévő kulcsokban.

Jól hangzik, igaz? Felfedezték azonban, hogy ez potenciális biztonsági probléma. A rendszer teljes mértékben megbízik ezekben a kulcsokban, de nem csak azokban a csomagoknál, amelyekhez hozzáadta azokat.