Kali Linux perde la chiave di firma: le conseguenze per gli utenti

I tecnici di Offensive Security (OffSec) realtà statunitense principalmente conosciuta per la creazione di Kali Linux, distribuzione basata su Debian usata dai professionisti della sicurezza in tutto il mondo, hanno pubblicato un avviso importante segnalando la perdita della chiave GPG per la firma dei pacchetti ufficiali. Per continuare a ricevere aggiornamenti di sistema senza interruzioni, è quindi necessario installare manualmente una nuova chiave di firma del repository.

Nessuna compromissione, ma risulta impossibile installare gli aggiornamenti su Kali Linux

La precedente chiave di firma, identificata come ED444FF07D8D0BF6, non è stata compromessa ma è andata irrimediabilmente persa. Per ovviare alla situazione, il team di OffSec ha generato una nuova chiave GPG (ED65462EC8D5E4C5), firmata dai maintainer di Kali Linux utilizzando le firme disponibili sul keyserver OpenPGP di Ubuntu.

Il problema emerge in maniera evidente quando gli utenti tentano di aggiornare il sistema: chi non ha ancora installato la nuova chiave riceverà errori simili al seguente:

Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5, which is needed to verify signature

Secondo quanto riportato, il repository ufficiale di Kali ha subìto un “congelamento” il 18 febbraio scorso, in modo da evitare che gli utenti potessero ricevere pacchetti firmati con una chiave non più valida prima della distribuzione della nuova. “In questi giorni praticamente ogni sistema Kali fallirà durante l’update. Non è un problema dell’utente, ma una responsabilità nostra“, ha dichiarato OffSec.

Ora che la nuova chiave è operativa e il repository è in fase di sblocco, tutti gli utenti sono tenuti ad aggiornare manualmente il proprio keyring per ripristinare la funzionalità del sistema di aggiornamento.

Come aggiornare manualmente la chiave di firma del repository Kali

Per aggiornare correttamente la chiave GPG del repository di Kali Linux e tornare a ricevere gli aggiornamenti, OffSec consiglia l’utilizzo del seguente comando, da impartire nella finestra del terminale:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

È ovviamente possibile, per maggiore scrupolo, verificare il checksum del file scaricato per assicurarsi della sua integrità nonché ispezionare il contenuto del keyring aggiornato utilizzando i comandi GPG.

Per gli utenti che preferiscono una soluzione più drastica ma immediata, OffSec suggerisce di reinstallare Kali Linux a partire dalle immagini ISO aggiornate, che includono già il nuovo keyring.

Un déjà-vu per la comunità Kali

L’episodio che abbiamo raccontato nei precedenti paragrafi non è il primo del genere per gli utenti della nota distribuzione. Già a febbraio 2018, gli sviluppatori lasciarono scadere la chiave GPG del repository, chiedendo agli utenti di intervenire manualmente per l’aggiornamento.

All’epoca, il team commentò ironicamente: “Se non aggiornate Kali regolarmente (cough), il vostro pacchetto archive-keyring sarà obsoleto e otterrete errori di firma. Peggio per voi, ma almeno potete aggiornare manualmente“.

La perdita di una chiave GPG, anche non compromessa, rappresenta un evento critico nella gestione della fiducia nei canali di distribuzione software. Se da un lato la trasparenza di OffSec è apprezzabile, dall’altro evidenzia l’importanza di politiche di backup e gestione delle chiavi crittografiche più robuste, specialmente nell’ambito di progetti che fungono da strumenti fondamentali per la sicurezza IT.