A New Kali Linux Archive Signing Key

TL;DR

Kali Linux 用户的坏消息！在接下来的几天里，几乎所有人的apt 更新都会失败:

缺少验证签名所需的密钥827C8569F2518CC677FECA1AED65462EC8D5E4C5。

原因是，我们必须为Kali 存储库推出新的签名密钥。您需要手动下载并安装新密钥，这里是one-liner:

┌──(kali㉿kali)-[~]

└─$ sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

现在你的Kali 已经准备好继续滚动了！带来不便敬请谅解。

长版

在接下来的日子里，几乎所有Kali 系统都将无法更新。当您运行apt update: 时，您可能会看到此错误消息

┌──(kali㉿kali)-[~]

└─$ sudo apt update

Get:1 https://http.kali.org/kali kali-rolling InRelease [41.5 kB]

Err:1 https://http.kali.org/kali kali-rolling InRelease

子进程/usr/bin/sqv返回错误代码（1），错误消息为: Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5，需要验证签名。

3 秒内获取41.5 kB (16.5 kB/s)

82个包可以升级。运行“apt list --upgradable”来查看它们。

警告: 签名验证期间发生错误。存储库不会更新，并且将使用以前的索引文件。 OpenPGP 签名验证失败: https://http.kali.org/kali kali-rolling InRelease: 子进程/usr/bin/sqv 返回错误代码（1），错误消息为: Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5，这是验证签名所需的。

警告: 无法获取https://http.kali.org/kali/dists/kali-rolling/InRelease 子进程/usr/bin/sqv 返回错误代码(1)，错误消息为: 缺少密钥827C8569F2518CC677FECA1AED65462EC8D5E4C5，这是验证签名所需的。

警告: 某些索引文件下载失败。它们已被忽略，或使用旧的。

这不仅是你的，这是每个人的，这完全是我们的错。我们无法访问存储库的签名密钥，因此我们必须创建一个新的。与此同时，我们冻结了存储库（您可能已经注意到，自18 日星期五以来没有更新），因此尚未有人受到影响。但我们将在本周解冻存储库，它现在已使用新密钥进行签名。

因此，您需要做一些手动工作。您需要手动下载并安装这个新密钥，例如:

┌──(kali㉿kali)-[~]

└─$ sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

如果您更喜欢使用curl，那也同样简单:

┌──(kali㉿kali)-[~]

└─$ sudo curl https://archive.kali.org/archive-keyring.gpg -o /usr/share/keyrings/kali-archive-keyring.gpg

作为一种良好的做法，您应该验证文件的校验和是否与下面的一致:

┌──(kali㉿kali)-[~]

└─$ sha1sum /usr/share/keyrings/kali-archive-keyring.gpg

603374c107a90a69d983dbcb4d31e0d6eedfc325 /usr/share/keyrings/kali-archive-keyring.gpg

您还可以仔细查看新的密钥环，它包含旧的签名密钥（ED444FF07D8D0BF6）和新的签名密钥（ED65462EC8D5E4C5）:

┌──(kali㉿kali)-[~]

└─$ gpg --no-default-keyring --keyring /usr/share/keyrings/kali-archive-keyring.gpg -k

/usr/share/keyrings/kali-archive-keyring.gpg

-----------------------------------------------------------

pub rsa4096 2025-04-17 [SC] [过期: 2028-04-17]

827C8569F2518CC677FECA1AED65462EC8D5E4C5

uid [未知] Kali Linux Archive 自动签名密钥(2025) [emailprotected]

pub rsa4096 2012-03-05 [SC] [过期: 2027-02-04]

44C6513A8E4FB3D30875F758ED444FF07D8D0BF6

uid [未知] Kali Linux 存储库[emailprotected]

子rsa4096 2012-03-05 [E] [过期: 2027-02-04]

正如您所看到的，apt update 仍然有效（或者再次有效，如果您在看到apt 错误后阅读本文）:

┌──(kali㉿kali)-[~]

└─$ sudo apt update

[.]

可以升级68个包。运行“apt list --upgradable”来查看它们。

是时候更新你的系统了！

从头开始

在某些情况下，您可能更愿意从头开始重建Kali 系统。为此，我们更新了所有图像，使其包含新的密钥环。

只需前往Get Kali 并获取最新图像即可。您会注意到文件名中的版本是2025.1c。这些图像与我们一个月前发布的图像完全相同，唯一的区别是它包含新的钥匙圈。您还可以使用每周图像，从2025-W17 开始，它们包含新的密钥环。

我们还更新了Kali NetHunter、VM、Cloud、Docker、WSL 等etcmldr；如果您认为我们忘记了什么，请联系我们。

问答

问：所以你的密钥被泄露了，但你不想承认，对吧？

答：不会。正如您所看到的，我们仍然将旧密钥包含在密钥环中，如果它被泄露，我们将删除它并提供吊销证书。

问：我不相信这把新钥匙！你真的是Kali Linux 吗？

答：新密钥由Kali 团队的一些开发人员签名，签名可在Ubuntu OpenPGP 密钥服务器上获取。您可以在https://keyserver.ubuntu.com/pks/lookup?search=827C8569F2518CC677FECA1AED65462EC8D5E4C5fingerprint=onop=index 上查看。

问：等一下，我有一种似曾相识的感觉；

答：早在2018 年，我们就意外让GPG 密钥过期了mldr；还有一条旧推文https://x.com/kalilinux/status/959515084157538304 可以作证。

还有更多问题吗？需要支持吗？根据您的喜好前往Kali Linux 论坛、Discord 频道或IRC 频道并取得联系。我们很乐意提供帮助。