auch wenn dies ein wenig zu spät kommt:
Diese "Probleme" treten auf, wenn sich der Key eines Repos ändert, dh entweder:
1.) Das Repo gehackt wurde, wenn er nun ein neues "Schlechtes, mit Schadcode Versehenes" Paket hochläd kann er nicht mit dem Schlüssel des Repos unterschreiben (weil er ihn nicht hat) => Die Warnung ist ernst zu nehmen, sie ist ein Indiz für den Angriff!
2.) Man hat vorher noch nie das Repo benutzt und benötigte daher den Schlüssel nicht => Warnung bedeutet: Setz dich damit auseinander, ob du dem Repo vertraust! Wenn ja, füge den Key deinem Schlüsselbund hinzu, wenn nein: Finger weg von dem Repo!
3.) Ein vorher benutztes, bisher nicht signiertes Repo signiert jetzt die Pakete, => Warnung bedeutet: Wahrscheinlich vertraut man dem Repo von vorher, also kann man gefahrlos den Key hinzufügen.
4) Der Key von dem Repo läuft demnächst ab und ist deshalb turnusmäßig geändert worden - wie 3).
Man sollte also in einem solchen Fall immer überprüfen um welchen Fall es sich handeln könnte. Das ist das elementarste des Sicherheits-Einmaleins!
(Siehe auch hier:
http://wiki.ubuntuusers.de/Fremdquellen#Vertrauen unter dem Punkt GPG-Signaturen)
