Update OS10.2 -> 10.3: Problem mit Signatur der Update-Installationsquelle

14/05/2008 - 18:34 von Hauke Laging | Report spam
Moin,

ich habe gerade ein openSUSE 10.2 auf 10.3 aktualisiert (VMware). Und da
kmail beim Start fröhlich segfaultet, dachte ich mir, konfiguriere ich
mal das Online-Update...

yast: Software -> Online-Update-Konfiguration -> Weiter

führt zu:



Signiert mit nicht verbürgtem öffentlichen Schlüssel




│Datei /var/tmp/TmpFile.6SKKEB wurde mit Schlüssel

│'A84EDAE89C800ACA (SuSE Package Signing Key <build@suse.de>)' digital
signiert. │


│Es besteht keine Vertrauensbeziehung zum Eigentümer des Schlüssels.

│Wenn Sie den Eigentümer als vertrauenswürdig einstufen, importieren Sie
den Schlüssel mit "Schlüssel importieren" in die
vertrauenswürdigen Schlüssel und fahren Sie dann

│mit der Installation fort.



│Durch die Installation einer Datei aus einer unbekannten
Installationsquelle kann │
│die Integritàt des Systems gefàhrdet werden. Am sichersten ist es,

│die Datei zu überspringen.



│ [Vertraue und Importiere den Schlüssel] [Überspringen]


So, so, denkt man sich da erst mal...

[5 min spàter]
Ich hatte eben die tolle Idee, mal in die fragliche Datei zu schauen,
die sich als PGP-Schlüssel erweist, und die fingerprints zu vergleichen.
root hatte ein paar Schlüssel im Keyring. Ich habe dann noch manuell die
beiden Dateien aus dem Paket suse-build-key importiert. Das stellt sich
nun so dar:

edv-1:~ # gpg --fingerprint --list-keys
/root/.gnupg/pubring.gpg

pub 1024D/9C800ACA 2000-10-19 [verfàllt: 2008-06-21]
Schl.-Fingerabdruck = 79C1 79B2 E1C8 20C1 890F 9994 A84E DAE8 9C80 0ACA
uid SuSE Package Signing Key <build@suse.de>
sub 2048g/8495160C 2000-10-19 [verfàllt: 2008-06-21]
[...]

Dies sollte also über jeden Zweifel erhaben sein.

Der fingerprint der kritisierten Datei ließ sich nicht so leicht
ermitteln, aber vielleicht habe ich mich auch bloß dumm angestellt:

edv-1:~ # gpg /var/tmp/TmpFile.6SKKEB
pub 1024D/9C800ACA 2000-10-19 SuSE Package Signing Key <build@suse.de>
sub 2048g/8495160C 2000-10-19 [verfàllt: 2008-06-21]

Das geht, aber die naheliegende Variante

edv-1:~ # gpg --fingerprint /var/tmp/TmpFile.6SKKEB
gpg: error reading key: Kein öffentlicher Schlüssel

scheitert. Ich habe diese Datei dann in ein anderes Schlüsselbund
importiert. Und siehe da: derselbe Fingerprint. Ergo: Wie debil ist yast
eigentlich? Alternativ: Was ist da los?


Unabhàngig davon: Wieso wird eine Installationsquelle signiert? Ich
dachte, die einzelnen Pakete werden signiert und darauf geprüft.


CU

Hauke
 

Lesen sie die antworten

#1 Hauke Laging
14/05/2008 - 18:45 | Warnen spam
Hauke Laging schrieb:

Signiert mit nicht verbürgtem öffentlichen Schlüssel



Kleine Ergànzung: Diese Meldung kommt auch dann, wenn ich für root ein
Schlüsselpaar erzeuge und den SuSE-Schlüssel signiere (macht man sonst
ja auch nicht, war aber einen Versuch wert...).

Da der fingerprint ja passt, habe ich yast den Schlüssel nun importieren
lassen. Aber was yast im Hintergrund gemacht hat, ist mir leider nicht klar.


CU

Hauke

Ähnliche fragen