SDB:YOU meldet Probleme mit der Prüfung von Patch-Signaturen

aus openSUSE, der freien Wissensdatenbank

Symptom

YaST Online Update (YOU) schlägt mit der folgenden Fehlermeldung fehl:

Signature check for patch info files failed. Cannot load patch information.

Mögliche Ursache: Beschädigter Download

Dieses Problem wird oft durch einen beschädigten Download der Patch-Info-Datei hervorgerufen. Die Beschädigung des Downloads kann verschiedene Ursachen haben, angefangen von einem einfachen Übertragungsfehler bis zu inhaltsändernden Proxys. Dieser Artikel befasst sich nicht mit solchen Fällen. Wir setzen voraus, dass der Download nicht beschädigt ist.

Hintergrund

In den von SUSE bereitgestellten YOU Patch-Info-Dateien werden vom GNU Privacy Guard [wikipedia] implementierte digitale Signaturen [wikipedia] verwendet, um sicherzustellen, dass die Patch-Info von einer vertrauenswürdigen Quelle (Novell/SUSE) hergestellt wurde und nicht manipuliert wurde (unabsichtlich, z.B. durch Beschädigung beim Download, oder absichtlich durch eine böswillige Person).

Die Datei /usr/lib/rpm/gnupg/pubring.gpg enthält die Public Keys, die zur Prüfung der Signaturen auf Patch-Info-Dateien benötigt werden; die Datei /var/lib/YaST2/gnupg/trustdb.gpg enthält administrative Daten. Falls eine dieser Dateien beschädigt wird, kann YOU die Signaturen auf den Patch-Info-Dateien nicht prüfen und verarbeitet sie nicht weiter.

Mögliche Ursache: Beschädigte (oder gelöschte) GPG-Dateien

Löschung oder Beschädigung der Datei /usr/lib/rpm/gnupg/pubring.gpg (Schlüsselbund) oder /var/lib/YaST2/gnupg/trustdb.gpg kann zum Fehlschlagen der Signaturprüfung führen.

Sehen Sie sich den Inhalt der Schlüsselbunddatei mit einem Befehl wie dem Folgenden an:

gpg --no-default-keyring --keyring /usr/lib/rpm/gnupg/pubring.gpg --verbose --list-keys

Lösung: Beschädigte GPG-Dateien ersetzen

Erzeugen Sie die Dateien /usr/lib/rpm/gnupg/pubring.gpg und /var/lib/YaST2/gnupg/trustdb.gpg neu, indem Sie das Paket suse-build-key erneut installieren.

Bei SUSE Linux Enterprise Server 9 befindet sich dieses Paket auf der CD2. Der Befehl ist wie folgt:

rpm -i --force --nosignature /media/cdrom/suse/noarch/suse-build-key*rpm

Mögliche Ursache: Systemuhrzeit liegt in der (fernen) Zukunft

Einige der Schlüssel, die mit denen SUSE-Pakete signiert werden, haben eine bestimmte Gültigkeitsdauer. Falls die Systemuhrzeit in der (fernen) Zukunft liegt, kann das System meinen, dass die Gültigkeit eines Schlüssels bereits abgelaufen ist (und daher nicht mehr vertrauenswürdig ist).

Lösung: Richtige Systemuhrzeit einstellen

Die Einstellung der richtigen Systemuhrzeit wird im Handbuch beschrieben. Die Rechneruhr kann zur laufenden Aktualisierung der Uhrzeit mit einer Zeitnormalen sychronisiert werden. Einzelheiten hierzu werden im Artikel SDB:Zeit über das Netz einstellen lassen beschrieben.

Ähnliche/verwandte Probleme

Ähnlich wie bei YOU Patch-Info-Dateien können auch bei RPM-Paketdateien Probleme mit der Prüfung von Signaturen auftreten. Dieses Problem wird in dem Artikel SDB:YOU oder RPM melden Probleme beim Verifizieren der Paketsignaturen angesprochen.