• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] smart findet keinen public key

Lurchi

Hacker
Hallo zusammen!

Ich bekomme seit dem letzten smart update folgende Fehlermeldung, wenn ich via Konsole oder GUI ein update fahren möchte:

warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 58857177
FEHLER!: To enable the keyserver run: "smart config --set keyserver=pgp.mit.edu"
FEHLER!: lftp-3.5.3-1.guru.suse101.i686.rpm: public key not available

Also. Den rpmkey von suser-guru habe installiert. Selbiges Phänomen habe ich auch bei einem downgrade von k3b bekommen.
Ich habe auch in keiner config herumgebastelt!

Hat irgend jemand 'ne Idee.
 

Polypodium

Hacker
Das selbe Problem habe ich auch grade, ohne Smart upgedatet zu haben. Ich gehe davon aus, daß der Keyserver momentan nicht am Netz hängt und Smart sich so nicht seine Schlüssel holen / abgleichen kann. Einfach mal abwarten... und später noch mal probieren.
 
OP
Lurchi

Lurchi

Hacker
Hallo nochmal!

Ich bin dem Befehl aus der Fehlermeldung mal nachgegangen und habe ihn mal eingegeben:

smart config --set keyserver=pgp.mit.edu

Danach habe ich wieder meine Updateroutine gefahren und wurde aufgefordert, die neuen Schüssel von Packman und suser-guru zu akzeptieren. Natürlich auf eigene Gefahr.
Die sich im cache befindlichen Pakete wurden danach anstandslos installiert.
Wenn's scheen macht. :)
 
Das mit dem Keyserver ist ein neues Feature von smart. Einfach, wie die Fehlermeldung schon sagt, den Keyserver festlegen, fertig.
 
OP
Lurchi

Lurchi

Hacker
@ traffic:

Dieses feature mag mag ja neu sein, aber mich nervt's halt jedes mal, den public key durchzuwinken. Aus Sicherheitsgründen sicherlich nachvollziehbar. Rein praktisch würde ich mir wünschen, das smart das tut, was ich ihm vorgebe: Updates herunterladen und installieren!
Müßte ich den o.g Befehl modifizieren?
 
Du musst den Key nicht jedesmal durchwinken, sondern jeden genau einmal.

Wenn Du komplett ohne Keys arbeiten willst, setze "smart config --set rpm-check-signatures=False".

Empfehlung: Tu es nicht und nimm Dir einfach mal die Zeit, das mit den Keys in Ordnung zu bringen. Du musst es nur einmal machen und danach nie wieder.
 

solo200

Newbie
traffic schrieb:
Du musst den Key nicht jedesmal durchwinken, sondern jeden genau einmal.

Wenn Du komplett ohne Keys arbeiten willst, setze "smart config --set rpm-check-signatures=False".

Empfehlung: Tu es nicht und nimm Dir einfach mal die Zeit, das mit den Keys in Ordnung zu bringen. Du musst es nur einmal machen und danach nie wieder.

Ich bin auch der Meinung, dass es lästig ist. Ich musste die letzten Tage mich an jeden Computer stellen und die Keys bestätigen. Der Befehl "smart config --set rpm-check-signatures=False" hat dabei keine Wirkung mehr :-(

Gruss solo200
 
Wenn der Befehl "smart config --set rpm-check-signatures=False" keine Wirkung mehr hat, dann ist das ein Bug. Melden!

Ansonsten: Das Leben ist hart :roll: Man muss den Key jedes Packagers nur genau einmal importieren, danach ist Ruhe. Dieses Feature ist eigentlich zum Schutz der Benutzer gedacht und nicht, um sie zu ärgern.
 
OP
Lurchi

Lurchi

Hacker
@traffic:
Mir ist schon klar, das man nur jeweils einmal den key eines Packagers übernimmt und das es der Sicherheit des Benutzers dient.
Aber wie ist smart mit dem public key vorher umgegangen? Vor dem letzten smart update mußte ich keinen einzelnen key durchwinken! :?
 
Ich sehs als gutes Feature an, wenns denn funktioniert.
Hab seit dem update immer häufiger Probleme mit den Key's das führt teilweise dazu, dass keiner gefunden wird (nicht auszuschließen, das eventuell keiner zur Verfügung steht, womit es also kein Problem von smart wäre).

Code:
Trying to import the key f7680582844c4360 from pgp.mit.edu...
error: gpg failed to import keyid f7680582844c4360, please make sure that gpg is installed, that the keyserver pgp.mit.edu is working and that the package /var/lib/smart/packages/iptables-1.3.5-13.jen2.i586.rpm has a valid signature.

error: iptables-1.3.5-13.jen2.i586.rpm: public key not available

Als Schlußfolgerung updated smart dann nicht, und ich muss das betroffene Paket wieder auf "keep" setzen.
Ich werd auch mal erstmal versuchen die Funktion zu deaktivieren, da ich eh generell überprüfe was ich update und installiere.
Also ums nochmal klar zu stelle, mit dem bestätigen der keys hab ich keine Probleme, sondern viel mehr das Pakete sich nicht mehr Installieren lassen, siehe "code"
 
Lurchi schrieb:
Aber wie ist smart mit dem public key vorher umgegangen?
Gar nicht. Wenn es vorher keine Fehlermeldungen bzgl. nicht vorhandener Keys gab und jetzt schon, dann bedeutet das, dass die Signaturüberprüfung vorher komplett abgeschaltet war.

smart fragt nur nach Keys, die noch nicht in der RPM-Datenbank vorhanden sind.
ThrasherSC2K2 schrieb:
Als Schlußfolgerung updated smart dann nicht, und ich muss das betroffene Paket wieder auf "keep" setzen.
Nein, Du musst es nicht auf "keep" setzen, sondern einfach nur den Key suchen.

Anleitung zur Key-Suche hier: http://www.linux-club.de/ftopic55018.html

Ausnahmsweise hier der Key für das iptables-Paket:
Code:
rpm --import http://ftp.gwdg.de/pub/linux/misc/suser-jengelh/SUSE-10.1/repodata/repomd.xml.key
Die Keys sind gar nicht so schwer zu finden, bei YUM-Repositories ist es meistens die repomd.xml.key unter der URL, die in der Channel-Konfiguration als "baseurl" angegeben ist.
 
Sehr fein, danke traffic.
Jetzt wo ich das Key feature bissschen besser verstehe, muss ich sagen ich finds super.
Auch wenns vielleicht für meinen ein mann PC bisschen unnötig ist, find ich es klasse wie schnell sich smart weiterentwickelt.

Also THX I'm out.
 

Grothesk

Ultimate Guru
Moment!
Das mit den keys hat überhaupt nichts damit zu tun, ob es ein Ein-Mann-PC ist oder nicht. Es verhindert z. B. das du beim download kaputtgegangene Pakete einspielst.
 
Diesen Sicherheitslevel hat man bei rpm-md-Channels eigentlich auch so schon ohne die Signaturen, weil bei rpm-md die sha1-Prüfsummen in den XML-Metadaten mit den tatsächlichen sha1-Prüfsummen der heruntergeladenen Pakete verglichen werden. Den Fall, dass sie nicht übereinstimmen und sowohl smart als auch YaST die Installation dann verweigern, hatten wir ja neulich schon.

Bei den kryptografischen Signaturen geht es wirklich darum sicherzustellen, dass die Pakete tatsächlich vom Verpacker kommen. Das lässt sich nur über kryptografische Signaturen sicherstellen, das andere geht auch über die Prüfsummen.
 

Grothesk

Ultimate Guru
Darum schrieb ich ja 'z. B.'
Das ist nämlich eher verständlich als die authetifizierung per key. Das Thema ist etwas abstrakt. (Siehe auch Emailsignatur und Verschlüsselung, nutzt 'kein Mensch')
 

LudwigVan

Member
:?

Also, ich hänge das hier hinten dran, weil ich denke, das gehört hierzu und traffic oder Grothesk können was dazu sagen:

ich habe den key-server eingegeben und einiges lief durch, bis auf

Code:
Trying to import the key e0d0622b414a57c3 from pgp.mit.edu...
FEHLER!: cifs-mount-3.0.23b-0.1.35.i586.rpm: public key not available

dann habe ich versucht über http://pgp.nic.ad.jp/pgp/pks-commands-e.html den passenden Schlüssel zu finden, war aber nichts. Auch die manuelle Suche unter http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.0-i386/RPMS.samba3/ wo das paket liegt hat auch nicht geholfen.

Ich glaube ich habe das Problem nicht richtig verstanden und auch die apt-anleitung von oc2pus nicht.

Kann mich jemand aufklären?

L.
 

diablo14

Newbie
Hi,

Kann mich jemand aufklären?

Du bekommst folgende Fehlermeldung z.B.
rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 0175623e
Trying to import the key ea7bf3970175623e from pgp.mit.edu...
gpg: requesting key 0175623E from hkp server pgp.mit.edu

Dann geh auf PgP-Server und suche nach Key: 0x 0175623e

Du erhälst den ASCII-Text, kopieren in Editor nach Wahl, abspeichern mit Endung.asc und mit:

rpm --import Pfad/zur/Datei/test.asc einfügen. Fertig.

MfG
diablo14
 
Um es mal zu vervollständigen: Dieses Paket hier hat die Key-ID 414a57c3, wie man folgendermaßen feststellt:
Code:
rpm -pKv http://ftp.gwdg.de/pub/linux/suse/apt/SuSE/10.0-i386/RPMS.samba3/cifs-mount-3.0.23b-0.1.35.i586.rpm
Die Ausgabe des Befehls oben lautet nämlich:
Header V3 DSA signature: OK, key ID 414a57c3
Header SHA1 digest: OK (a2d8cf78900f42d8dacccd8edc99aeb6afe0d7ea)
MD5 digest: OK (8392ddf662aacce2d682b0cf685b8e21)
V3 DSA signature: OK, key ID 414a57c3
Dann gibst Du die Key-ID in die Suchfunktion des Forums oder in Google ein:

http://www.google.de/search?q=414a57c3

Und schon weißt Du, welcher Key es ist: Es ist der Key von Lars Müller, und zwar nicht die Samba-Adresse, sondern die SUSE-Adresse.

http://en.opensuse.org/User:Lmuelle

Unten auf der Wikiseite ist der Link zum Key.

OK?
 

LudwigVan

Member
OK!

Hat funktioniert, ich habe einfach falsch gesucht und nicht verstanden, worum es geht.

Eines hat mich dann doch gewundert: der über http://en.opensuse.org/User:Lmuelle zu beziehende key ist nicht der gleiche wie über http://pgp.nic.ad.jp/pgp/pks-commands-e.html und letzterer gab erstmal eine Fehlermeldung raus beim einspielen über rpm --import.

Ich nehme mal an, das hängt davon ab, ob die Schlüssel regelmäßig abgeglichen/geändert werden?

Was in der Folge für mich bedeutet, dass man auch regelmäßig selbst nochmal einzelne keys aktualisieren muß.

Dank und Gruß,

L.

:wink:
 
Oben