Sommario
Kali Linux, la distribuzione preferita da professionisti della sicurezza informatica e penetration tester, ha annunciato un cambiamento critico nella gestione della sicurezza dei propri repository. A partire da maggio 2025, tutti i sistemi che tentano di eseguire un aggiornamento tramite apt update riscontrano un errore legato alla verifica della firma dell’archivio, a causa della sostituzione della chiave di firma ufficiale utilizzata per certificare l’integrità e l’autenticità dei pacchetti software.
L’interruzione riguarda l’intera community, non per un attacco o compromissione esterna, ma per la perdita di accesso alla precedente chiave privata di firma da parte del team di sviluppo, situazione che ha reso necessario il rilascio di una nuova chiave. L’assenza della chiave aggiornata sul sistema impedisce al gestore dei pacchetti di accedere al repository ufficiale, bloccando qualsiasi aggiornamento e visualizzando un errore critico associato all’identificativo della chiave mancante 827C8569F2518CC677FECA1AED65462EC8D5E4C5.
La soluzione richiede un intervento manuale per reinstallare la fiducia tra sistema e repository
Per ripristinare la capacità di aggiornamento, gli utenti devono scaricare e installare manualmente il nuovo file di chiavi, scaricabile dal dominio ufficiale Kali. Una volta sostituito il file nella posizione corretta, la comunicazione tra il sistema operativo e il repository viene ripristinata, e apt update torna a funzionare regolarmente, consentendo l’accesso alle patch, agli aggiornamenti di sicurezza e alle nuove versioni dei tool.
Il team consiglia di verificare il checksum SHA1 del file scaricato per assicurarsi dell’autenticità della chiave, evitando l’installazione di file manomessi. Inoltre, i nuovi keyring includono sia la chiave precedente (non compromessa ma ormai inutilizzabile per motivi tecnici) sia quella attuale, con scadenza fissata ad aprile 2028. L’adozione di questa architettura ridondante garantisce la compatibilità retroattiva e la validazione storica dei pacchetti già installati.
Aggiornamento delle immagini ISO, dei container e dei pacchetti derivati
Oltre alla comunicazione tecnica, il team di Kali ha reso disponibili nuove immagini ISO per ogni versione del sistema, identificate dalla sigla 2025.1c, che includono già il nuovo keyring e non richiedono interventi post-installazione. Anche le build settimanali (2025-W17 in avanti), le immagini cloud, i container Docker, NetHunter, le virtual machine e le distribuzioni per Windows Subsystem for Linux sono state aggiornate per incorporare la nuova chiave.
Questo aggiornamento massivo si traduce in un minor numero di segnalazioni di errore, soprattutto tra gli utenti che eseguono installazioni fresche o deployment automatizzati. Chi possiede ambienti Kali attivi è però chiamato a intervenire manualmente per garantire la sicurezza e la continuità operativa, specialmente in contesti di laboratorio, red team o automazioni DevSecOps.
Risposta alle preoccupazioni sulla sicurezza della nuova chiave
Il post pubblicato sul blog ufficiale risponde direttamente ai dubbi sollevati dalla community sulla natura della rotazione della chiave. I maintainer precisano che la chiave precedente non è stata compromessa, ma semplicemente non è più accessibile, e quindi non utilizzabile per firmare nuovi pacchetti. In caso di compromissione, sarebbe stato necessario revocare formalmente la chiave e cancellarne la presenza nei keyring. La scelta di includerla nel nuovo file dimostra la trasparenza dell’operazione.
A ulteriore conferma della legittimità, la nuova chiave è stata firmata da membri noti del team di sviluppo Kali, con tracce disponibili anche su keyserver pubblici come quello di Ubuntu. Gli utenti che desiderano una verifica crittografica indipendente possono quindi consultare la chiave ED65462EC8D5E4C5 sul portale keyserver.ubuntu.com, dove è associata esplicitamente alla firma automatica dei pacchetti Kali Linux.
Lezioni apprese e rafforzamento del processo di gestione delle chiavi
Questa situazione, pur non derivando da un evento malevolo, solleva interrogativi rilevanti sulla gestione della sicurezza crittografica nelle distribuzioni Linux. Kali, come molte altre distribuzioni basate su Debian, utilizza la firma OpenPGP per certificare i pacchetti. La perdita dell’accesso alla chiave impedisce ogni aggiornamento e può rappresentare un punto critico di fragilità se non mitigato da procedure rapide e comunicazioni trasparenti.
Il team ha ammesso l’inconveniente, indicando però di aver congelato preventivamente il repository dal 18 aprile per evitare la propagazione di pacchetti non firmati. Il congelamento ha protetto gli utenti da problemi immediati e ha dato il tempo necessario per rilasciare la nuova chiave e rigenerare l’intera infrastruttura di firma.
Questo approccio dimostra la maturità del progetto nella gestione degli incidenti interni, ma anche la necessità di rivedere periodicamente i flussi di gestione delle chiavi critiche, soprattutto in un contesto dove la fiducia verso il software distribuito è centrale.
