Kali Linux gehört zu den bekanntesten und beliebtesten Linux-Distributionen im Bereich der IT-Sicherheit und Penetrationstests. Regelmäßige Updates und ein stabiler Zugang zu den offiziellen Paketquellen sind essenziell, damit Nutzer stets mit den neuesten Tools, Sicherheitsverbesserungen und Funktionserweiterungen ausgestattet sind. Anfang 2025 gab das Kali Linux Entwicklungsteam eine wichtige Ankündigung bekannt: Ein neuer Archiv-Signaturschlüssel wurde eingeführt, der für die Authentifizierung und Integrität der Softwarepakete notwendig ist. Dieser Wechsel führt für Nutzer zu einem manuellen Eingriff, ohne den ein reibungsloses Update via apt fast unmöglich wird. Im Folgenden werden die Gründe für die Schlüsseländerung beleuchtet, die Auswirkungen auf die Nutzer dargestellt und Schritt für Schritt erklärt, wie die Installation des neuen Schlüssels durchgeführt wird.
Außerdem werden mögliche Fragen beantwortet, die sich im Zusammenhang mit dieser Änderung ergeben können. Die Aktualisierung der Schlüssel ist ein notwendiger Schritt für die Sicherheit des gesamten Ökosystems von Kali Linux. Zuvor nutzte das Projekt einen Signaturschlüssel, der sich als kompromittiert oder nicht mehr zugänglich herausstellte. Aus diesem Grund musste ein neuer Schlüssel generiert und in den Archiven hinterlegt werden. Die Folge ist, dass Nutzer beim Ausführen des Befehls apt update häufig eine Fehlermeldung erhalten, die auf eine fehlende Überprüfung zurückzuführen ist.
Diese Fehlermeldung weist auf einen nicht gefundenen Schlüssel hin, der für die Verifikation der Paketquellen unverzichtbar ist. Das Entwicklungsteam erklärte, dass dies ein universelles Problem betrifft, dem sich alle Kali Linux Nutzer weltweit stellen müssen. Durch einen vorübergehenden Freeze der Repository-Updates konnte bisher größeres Chaos verhindert werden. Doch mit dem Einspielen der neuen Signaturen sind Nutzer gezwungen, aktiv zu werden, um den neuen Schlüssel zu übernehmen. Die neue Archiv-Signatur besteht aus einem Schlüssel mit der ID 827C8569F2518CC677FECA1AED65462EC8D5E4C5.
Er wurde bereits in die aktuellen Images, darunter auch die herunterladbaren ISO-Abbilder und Varianten wie NetHunter, VM-, Cloud- und Docker-Images integriert. So wird ein Neubau des Systems oder ein Update mit dem neuen Schlüssel für viele Nutzer erleichtert. Nutzer sollten entweder die aktuelle Keyring-Datei direkt herunterladen oder ihr System ganz neu mit den neu verfügbaren ISO-Images aufsetzen. Ein Vorteil dabei ist, dass der neue Schlüssel zusammen mit dem alten Schlüssel gebündelt in der Keyring-Datei vorliegt. Das Kali Team versichert, dass der alte Schlüssel nicht kompromittiert wurde, da er weiterhin enthalten bleibt und keine Widerrufszertifikate veröffentlicht wurden.
Die Maßnahme dient vielmehr zur Verbesserung und zur Absicherung der Vertrauenswürdigkeit der Repository-Authentifizierung. Der Download der aktuellen Keyring-Datei erfolgt über eine einfache Kommandozeile. Nutzer können dabei entweder wget oder curl verwenden, um die Datei archive-keyring.gpg in das Verzeichnis /usr/share/keyrings/ zu speichern. Es wird empfohlen, nach dem Herunterladen die Integrität der Datei mittels einer SHA1-Prüfsumme zu kontrollieren.
Dies sorgt für mehr Sicherheit und stellt sicher, dass keine Manipulation während des Downloads stattgefunden hat. Als Referenz sollte der Hash 603374c107a90a69d983dbcb4d31e0d6eedfc325 mit der heruntergeladenen Datei übereinstimmen. Durch das Einspielen des neuen Schlüssels wird die Überprüfung der Repository-Signaturen durch das System wieder möglich. Der typische Fehler, der bei einem fehlenden Schlüssel auftritt, verschwindet und Entwickler können wieder Updates anbieten, die als vertrauenswürdig eingestuft werden. Für Nutzer, die ihr Kali Linux neu installieren oder von Grund auf aktualisieren möchten, stehen aktualisierte ISO-Images zur Verfügung, die den neuen Schlüssel bereits enthalten.
Die Versionen tragen eine Kennzeichnung wie 2025.1c und können direkt von der offiziellen Kali Linux Website bezogen werden. Auch die wöchentlichen Builds ab Kalenderwoche 17 im Jahr 2025 beinhalten das neue Keyring. Damit ist eine Neuinstallation für viele Anwender eine einfache Alternative, besonders wenn Unsicherheiten beim manuellen Einspielen bestehen. Trotz der Sicherheitsmaßnahmen kann es zu Fragen oder Sorgen bezüglich der Schlüsseländerung kommen.
Beispielsweise wird oft befürchtet, dass ein Schlüssel kompromittiert wurde oder das Vertrauen in Kali Linux selbst leidet. Das Kali Development Team stellt klar, dass der alte Schlüssel weiterhin enthalten und gültig ist, was gegen eine Kompromittierung spricht. Der neue Schlüssel wurde zusätzlich von mehreren Entwicklerteammitgliedern signiert, wodurch die Authentizität gewährleistet ist. Das Signieren ist öffentlich über bekannte OpenPGP-Keyserver einsehbar. Somit bleibt die Verwurzelung der Vertrauenswürdigkeit transparent und nachvollziehbar.
Die Situation erinnert einige Nutzer an frühere Vorfälle: Bereits im Jahr 2018 gab es ähnliche Probleme, als der damalige GPG-Schlüssel versehentlich abgelaufen war. Dieses Mal handelt es sich jedoch um eine geplante und bewusste Maßnahme, die die Zukunft der Kali Linux Softwareverteilung sichert. Für den Fall, dass Nutzer Unterstützung benötigen, bieten die Kali Linux Community und der Offizielle Support verschiedene Kanäle an. Die Foren, Discord-Server und IRC-Kanäle sind gute Anlaufstellen, um schneller Hilfe bei der Schlüsselinstallation oder sonstigen Fragen zu bekommen. Diese Kommunikationswege sind wichtig, da die schnelle Verbreitung der Informationen und Updates für die Sicherheit und Stabilität aller Nutzer sorgt.
