Warum sind Pakete als unsicher markiert? Auch welche aus Ubuntu Quellen?

Das sollte eigentlich nur bei Fremdquellen passieren. Apt (bzw. der Paketmanager deiner Wahl) lädt von den Paketquellen einige Informationen herunter. Eine dieser Dateien heißt Release und enthält eine Prüfsumme der Paketliste (der Datei Packages). Die Paketliste enthält neben der Beschreibung des Pakets auch die Prüfsumme des deb-Archivs.

Apt versucht nun anhand der Release Datei die Paketliste zu überprüfen (über die Prüfsumme) um dann die Prüfsumme des deb-Archivs überprüfen zu können. Damit apt weiß, dass die Release Datei nicht manipuliert ist, überprüft es anhand einer digitalen Signatur deren Originalität.
Wenn nun diese digitale Signatur in der Paketquelle nicht vorhanden ist (ist in der Datei Release.gpg) oder nicht mit einem Schlüssel signiert, dem apt vertraut, wird diese Meldung angezeigt.

Der Schlüssel mit dem die Ubuntu Quellen signiert sind, wird bei der Installation installiert, so daß apt den Ubuntu Quellen vertraut.

Möchtest du nun bei Fremdquellen diese Warnung loswerden, musst du schauen, ob es für die Paketquelle diese digitale Signatur gibt und enscheiden, ob du dem Verwalter dieser Paketquelle vertraust.

Danke für die Informationen. Allerdings bringt Ubuntu diese Warnung nun leider immer, auch wenn ich nur noch Originalquellen verwende. Ist der Key, oder sind die Paketinfos durcheinander oder veraltet?

Mir ist nicht bekannt, dass der Schlüssel ausgetauscht wurde.

Mit "sudo apt-key list" kannst du dir anzeigen lassen, welchen Schlüsseln apt vertraut.

Bei mir sieht das so aus:

/etc/apt/trusted.gpg
--------------------
pub 1024D/437D05B5 2004-09-12
uid Ubuntu Archive Automatic Signing Key <email address hidden>
sub 2048g/79164387 2004-09-12

pub 1024D/FBB75451 2004-12-30
uid Ubuntu CD Image Automatic Signing Key <email address hidden>