[English]Die Entwickler von Kali Linux haben ihr Repository für einige Tage eingefroren, so dass Updates des Betriebssystems möglicherweise scheitern. Hintergrund ist ein verlorener Repository-Schlüssel zum Signieren der Dateien.
Anzeige
Die Entwickler des Kali-Projekts haben am Montag, den 28. April 2025, den Support-Beitrag A New Kali Linux Archive Signing Key dazu veröffentlicht. Sie schreiben, dass es schlechte Nachrichten für Kali Linux-Benutzer gebe. In den kommenden Tagen werde apt update für so ziemlich jeden Benutzer des Betriebssystems mit folgender Meldung fehlschlagen:
Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5, which is needed to verify signature.
Hintergrund dafür ist, dass die Entwickler einen neuen Signierschlüssel für das Kali-Repository erstellen mussten. Kali-Nutzer müssen den neuen Schlüssel manuell herunterladen und installieren:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg
Danach ist Kali-Linux wieder für die Bereitstellung von Updates eingerichtet. Mehr Details gibt es im verlinkten Beitrag. (via)
Anzeige
In dem Statement da oben fe lt noch ein "sudo wget" vor der URL…
Ist auf dem Sprint zum Sport verloren gegangen – hab es jetzt nachgereicht – danke.
Mein KALI macht ein problemloses Update ohne Schlüsselwechsel …
Nach Lesen der Quelle finde ich, dass Kali sich da etwas bedeckt, bezogen auf den Grund des Verlustes, hält.
Ergänzend und zusammenfassend:
Das Repository wurde eingefroren um Updates und die damit verbundenene Fehlermeldung zu vermeiden. So habe ich das zumindest verstanden und wahrscheinlich werden dann gar keine Updates angezeigt – weiß ich aber nicht! Es soll diese Woche wieder "entfroren" werden und der alte Schlüssel sei nicht kompromittiert worden was man daran erkennen könnte, dass der Neue von einigen Entwicklern signiert wurde (klingt legitim).
Die Betonung auf "Einige Entwickler" hört sich für mich nach dem (plötzlichen) Verschwinden von Einem oder Mehreren inklusive dessen beziehunsweise deren entsprechende[m|n] Schlüssel[n] an – was bei freier Software gerne mal vorkommt. Spekulation: Kein Bock mehr, beschäftigt, krank, tot usw.
PS Bin bespannt ob hier, insbesondere in Hinsicht auf die Art der Software, dieselben Ansprüche wie bei Anderen angesetzt werden!
Mit einem do-it-yourself Hardwaretoken/Smartcard zum Preis einer Dose Cola wäre das nicht passiert:
https://github.com/ran-sama/stm32-gnuk-usb-smartcard
(Auch da ist ein Paperwallet z.B. QR-Codes als Backup im Tresor sinnvoll!)
Kompromittierung ist da nicht möglich außer man wendet dies an:
https://xkcd.com/538/
Damit wird das Projekt am Ende sein.
Warum? Kali-Linux richtet sich and Skiddies und professionelle Pentester. Beide werden das Distro und die Auswahl an Paketen nicht aufgeben.
Xz-utils ist schlimmeres passiert und der Dev hat den Schaden alleine behoben und es ist aus keiner Distro permanent herausgeflogen. Das ist FLOSS. Wenn es eine alternative gäbe könnte man wechseln, aber Kali und XZ sind alternativlos.
Also bei mir läuft es problemlos, auch nach Update.