Kali Linux, die beliebte Distribution für Penetrationstests und IT-Sicherheit, steht aktuell vor einer Herausforderung, die viele Anwender spüren dürften: Update-Probleme aufgrund des Verlusts eines wichtigen Signierungsschlüssels des Software-Repositories. Offensive Security, das Unternehmen hinter Kali Linux, hat Nutzer vor diesen Schwierigkeiten gewarnt und bietet Lösungswege an, um die Integrität und Aktualität ihrer Systeme weiterhin sicher zu gewährleisten. In der Linux-Welt sind kryptografische Signierungsschlüssel von entscheidender Bedeutung. Sie gewährleisten, dass Softwarepakete authentisch sind und seit ihrer Veröffentlichung nicht manipuliert wurden. Für Kali Linux ist der Repository-Signierungsschlüssel ein zentrales Element, um die Sicherheit beim Aktualisieren von Paketen mittels des Paketsystems apt sicherzustellen.
Der aktuelle Vorfall ist darauf zurückzuführen, dass Offensive Security den Zugang zu diesem zentralen Schlüssel verloren hat. Dadurch konnten Updates zeitweise nicht mehr mit der gewohnten Vertrauenswürdigkeit signiert werden, was seitens der Paketverwaltung dazu führte, dass Systeme Aktualisierungen ablehnten und Fehler meldeten. Die Meldung, die viele Nutzer beim Versuch eines apt update erhalten, weist explizit darauf hin, dass der Schlüssel mit der ID 827C8569F2518CC677FECA1AED65462EC8D5E4C5 fehlt und somit die Paketintegrität nicht überprüft werden kann. Dies hat zur Folge, dass Systeme keine neuen Pakete herunterladen oder installieren können, wodurch wichtige Sicherheitsupdates nicht mehr eingespielt werden. Ein eingefrorenes Repository hat in der Zwischenzeit die Situation noch verschärft, da keine neuen Pakete ohne gültige Signatur veröffentlicht wurden.
Mittlerweile hat Offensive Security das Repository jedoch wieder geöffnet und verwendet einen neuen Signierungsschlüssel, sodass Updates mit gültigen Schlüsseln versehen werden. Wichtig ist, dass bestehende Kali Linux Installationen diesen neuen Schlüssel zunächst manuell nachinstallieren müssen. Die Kali-Entwickler raten allen Nutzern dazu, den neuen Repository-Schlüssel eigenhändig zu beziehen und zu integrieren. Hierzu stellt das Kali-Team ein neues Keyfile unter https://archive.kali.
org/archive-keyring.gpg bereit, das über Kommandozeilenwerkzeuge wie wget oder curl heruntergeladen und an den vorgegebenen Speicherort abgelegt wird. Sobald der neue Schlüssel korrekt installiert ist, akzeptiert das System wieder Signaturen, und dieSoftwareaktualisierung kann ohne weitere Probleme durchgeführt werden. Neben dem praktischen Installationsweg empfiehlt das Kali-Team allen Nutzern eine Überprüfung der Integrität des heruntergeladenen Schlüssels mittels eines SHA1-Prüfsums, um Manipulationen auszuschließen und ein hohes Maß an Sicherheit zu garantieren. Für weniger erfahrene Nutzer oder Anwender, die das Risiko manueller Eingriffe scheuen, hat Offensive Security aktualisierte Kali Linux Images veröffentlicht.
Diese ab Version 2025.1c verfügbaren neuen Installationsmedien enthalten den neuen Schlüssel bereits vorinstalliert. Ein frisches System mit einem solchen Image ist also von Beginn an vollständig updatefähig. Die Hintergründe für das Verlieren des Repository-Schlüssels sind laut Hersteller nicht durch einen Sicherheitsvorfall oder eine Kompromittierung der Schlüssel verursacht. Stattdessen handelt es sich um ein administratives Missgeschick.
Dies erinnert an eine ähnliche Situation im Jahr 2018, als ein Schlüssel durch Ablauf der Gültigkeit zu Problemen führte. Damals mussten Nutzer ebenfalls manuell den Schlüssel aktualisieren, um weiterhin Updates installieren zu können. Die aktuelle Lage unterstreicht die Bedeutung regelmäßiger Wartung und Aufmerksamkeit gegenüber Schlüsselverwaltung in der Welt der IT-Sicherheit und Softwaredistributionen. Für Anwender von Kali Linux ist es daher unerlässlich, über die Situation informiert zu sein und die notwendigen Schritte umzusetzen, um die Sicherheit ihres Systems nicht zu gefährden. Für Unternehmen oder Sicherheitsforscher, die Kali in sensiblen Umgebungen einsetzen, empfehlen sich zusätzliche Maßnahmen zur Überprüfung der Sicherheitspfade und Backup-Verfahren, um im Falle ähnlicher Vorfälle schneller reagieren zu können.
Außerdem bietet der Vorfall eine Gelegenheit, die eigene Update-Strategie zu überdenken. Automatisierte Aktualisierungen sind zwar bequem, doch erfordern sie auch Vertrauen in die Schlüsselverwaltung. Es kann sinnvoll sein, Schlüsseldateien in Versionskontrollsysteme aufzunehmen oder verifizierte Quellen kritisch zu beobachten. Die Kali Linux-Community reagierte auf die Warnungen mit regem Austausch in Foren und sozialen Medien. Zwar ist die allgemeine Stimmung von Verständnis für den Vorfall geprägt, doch wächst auch die Forderung nach transparenten Kommunikationswegen und präventiven Maßnahmen, um solchen Probleme künftig zu verhindern.
![How is the McMaster Carr website so fast? (2024) [video]](/images/0261DCAA-DCC1-41E9-8007-6CCF1BDE0C25)
