Pourquoi firefox doit-il importer la clé GPG lors de la mise à jour ?

C'est spécifique à Fedora. Vous devez le faire uniquement la première fois que vous utilisez yum pour mettre à jour votre système. Après cela, yum devrait mémoriser que cette clé spécifique est de confiance et ne plus la demander.

Cette clé est utilisée pour signer numériquement les paquets que vous installez, les rendant ainsi certifiés par les développeurs de Fedora. Cela signifie que, tant qu'il s'agit de la bonne clé, vous ne risquez pas d'installer des logiciels falsifiés ou malveillants sur votre système. Si une personne tentait d'injecter un logiciel malveillant pour que votre ordinateur le télécharge et l'installe, yum remarquerait qu'il n'est pas signé ou qu'il est signé par une clé non fiable, et vous en avertirait.

Habituellement, vous répondez simplement oui et vous oubliez. Mais la procédure correcte consiste à certifier d'abord que la clé n'a pas été interceptée et remplacée par une clé malveillante provenant de quelqu'un d'autre. Puisqu'elle a été installée avec votre système (elle est en /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-i386 (comme le dit le message), il est raisonnable de croire que la provenance de la clé est bonne, pour autant que votre support d'installation soit également bon.

Pour vérifier la clé, vous devez obtenir son empreinte digitale avec GPG et la comparer avec une source fiable :

gpg --import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-i386
gpg --fingerprint

L'empreinte digitale doit correspondre à celle qui figure dans https://fedoraproject.org/keys .