知名作業系統 Kali Linux 日前釋出警告提醒使用者手動安裝儲存庫金鑰避免更新失敗,出現這種情況的原因是因為開發商 Offensive Security 不慎丟失舊的簽名金鑰 ED444FF07D8D0BF6。
丟失金鑰後開發商使用 Ubuntu OpenPGP 金鑰伺服器上的簽名建立新金鑰 ED65462EC8D5E4C5,由於金鑰是丟失而非洩露,所以目前舊金鑰仍然是有效的而且並未被刪除。
Offensive Security 透露 Kali Linux 儲存庫在 2025 年 2 月 18 日就被凍結,這可能是金鑰丟失的時間,而在未來幾天幾乎所有的 Kali Linux 系統都將無法正常更新,當嘗試更新時會提示:缺少金鑰 827C8569F2518CC677FECA1AED65462EC8D5E4C5,而該金鑰時驗證簽名所必須的。
為了避免出現無法更新的情況,使用者需要手動下載安裝最新建立的儲存庫簽名金鑰,只有手動安裝後才能確保繼續更新,否則後續 Kali Linux 將無法更新、可能無法安裝內容並存在安全問題。
Offensive Security 還提供有關如何檢查檔案校驗和是否匹配以及如何檢視更新後的金鑰環詳細資訊,如果使用者不信任手動更新金鑰環,也可以使用新金鑰環更新後的映象重灌 Kali Linux。
值得注意的是這種情況也不是 Offensive Security 首次出現,在 2018 年時 Kali Linux 開發者也曾讓 GPG 金鑰過期,要求使用者手動更新金鑰以便能夠安裝未來的所有更新。不過當時並非丟失金鑰,而是如果使用者沒有定期更新則可能導致金鑰環過期,這時候就會遇到金鑰不匹配的情況。
如何手動更新金鑰:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg