Kali Linux è una distribuzione GNU/Linux specializzata nella sicurezza informatica e nel penetration testing, sviluppata e mantenuta da Offensive Security. Nata come rifacimento di BackTrack Linux, la distribuzione ha debuttato nel 2013 con l’obiettivo di fornire un ambiente completo per professionisti della cybersecurity.
L’ultima versione stabile al momento della scrittura di questo articolo è Kali Linux 2025.1a, rilasciata il mese scorso, che include strumenti aggiornati per l’analisi di vulnerabilità, crittografia e test di intrusione. Una delle caratteristiche distintive di Kali è il suo repository software curato, che garantisce l’accesso a pacchetti verificati e sicuri.
L’importanza della firma dei repository software
I repository software delle distribuzioni GNU/Linux utilizzano firme crittografiche per garantire l’autenticità e l’integrità dei pacchetti presenti. Questo sistema impedisce a malintenzionati di introdurre codice malevolo tramite pacchetti contraffatti. Kali Linux, come molte altre distribuzioni, si affida a una chiave GPG (GNU Privacy Guard) per firmare i suoi archivi.
Quando un utente esegue da Terminale il comando apt update o installa un pacchetto software, il sistema verifica che i dati provengano da una fonte attendibile confrontando la firma con la chiave pubblica memorizzata localmente. Se la verifica fallisce, l’operazione viene bloccata per prevenire potenziali minacce.
La necessità di una nuova chiave
Le chiavi di firma hanno una scadenza programmata per motivi di sicurezza, poiché l’uso prolungato aumenta il rischio di compromissione. Il team di Kali Linux rinnova periodicamente le chiavi per garantire l’integrità dei repository software ufficiali.
Nel febbraio 2018, una delle chiavi di firma utilizzate per i repository software di Kali Linux è scaduta, causando errori durante gli aggiornamenti. Per risolvere il problema, gli utenti hanno dovuto importare manualmente una nuova chiave. Questo evento ha evidenziato l’importanza di gestire proattivamente le chiavi crittografiche per evitare interruzioni nel sistema.
Curiosamente, una chiave generata nel 2012 risulta ancora presente nel portachiavi, con una data di scadenza fissata al 2027, un intervallo di validità insolitamente lungo per una chiave di firma. Nonostante questo, ad oggi è stata introdotta una nuova chiave. La nuova chiave è stata generata sempre con un algoritmo RSA a 4096 bit, considerato molto resistente agli attacchi brute-force. La nuova chiave è stata generata il 17 aprile 2025 e ha una durata ridotta (3 anni) per allinearsi alle migliori pratiche di sicurezza.
Come aggiornare la chiave su Kali Linux
Chiunque utilizzi Kali Linux dovrebbe scaricare e installare il nuovo file chiave:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpgOppure se preferisci usare curl :
sudo curl https://archive.kali.org/archive-keyring.gpg -o /usr/share/keyrings/kali-archive-keyring.gpg
Dopo questi passaggi, il sistema riconoscerà i pacchetti firmati con la nuova chiave come validi.
Cosa succede se non si aggiorna la chiave?
Se la chiave non viene aggiornata, gli utenti riscontreranno errori di verifica durante l’esecuzione di apt update, con messaggi simili a:
W: GPG error: https://http.kali.org/kali kali-rolling InRelease: The following signatures were invalid: EXPKEYSIG ED444FF07D8D0BF6 Kali Linux Repository <devel@kali.org>
In tal caso, il sistema bloccherà gli aggiornamenti fino alla risoluzione del problema.
Ricominciare da zero
Per chi desidera ricostruire il sistema Kali Linux da zero, sono disponibili immagini aggiornate con il nuovo portachiavi.
Le versioni più recenti possono essere scaricate da Get Kali e sono identificate dal nome 2025.1c. Queste immagini corrispondono a quelle rilasciate il mese precedente, con l’unica modifica del portachiavi aggiornato. Anche le immagini settimanali, a partire da 2025-W17 (settimana 17 del 2025), includono questa modifica.
L’aggiornamento interessa inoltre Kali NetHunter, VM, Cloud, Docker, WSL e altri ambienti.
Per approfondire, fare riferimento all’annuncio ufficiale.
Fonte: https://www.kali.org/blog/new-kali-archive-signing-key/
Source: Read More
