Parece que até os mestres do pentest podem ter seus dias de script kiddie. Nesta semana, usuários do Kali Linux ao redor do mundo foram surpreendidos por uma mensagem de erro nada amigável ao tentar atualizar seus sistemas. O motivo? A equipe do projeto perdeu acesso à chave de assinatura dos repositórios, e agora todos precisam instalar manualmente uma nova.
O que aconteceu?
Na sexta-feira, 18 de abril de 2025, a equipe do Kali Linux anunciou que perdeu acesso à chave OpenPGP usada para assinar os pacotes do repositório kali-rolling. Em vez de arriscar qualquer ambiguidade sobre a autenticidade dos pacotes, eles decidiram congelar as atualizações enquanto geravam uma nova chave.
Resultado? Se você tentou rodar sudo apt update nos últimos dias, provavelmente se deparou com um erro parecido com este:
Missing key 827C8569F2518CC677FECA1AED65462EC8D5E4C5, which is needed to verify signature.Traduzindo: seu Kali Linux não confia mais nos próprios repositórios.
Como resolver
Felizmente, a solução é mais simples do que a maioria das ferramentas da distro. Basta baixar e instalar a nova chave manualmente com um dos comandos abaixo:
Usando wget:
sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpgOu com curl:
sudo curl https://archive.kali.org/archive-keyring.gpg -o /usr/share/keyrings/kali-archive-keyring.gpgDepois disso, o bom e velho sudo apt update deve funcionar normalmente, e você poderá voltar a explorar vulnerabilidades sem preocupações.
E a chave antiga?
Calma, não se trata de um vazamento de dados. A equipe do Kali Linux garante que a chave antiga não foi comprometida – eles simplesmente perderam acesso a ela (coisas que acontecem até com os melhores). A chave antiga continua incluída no novo keyring para fins de verificação histórica, e nenhum certificado de revogação foi emitido.
Para quem prefere começar do zero, a equipe do Kali já disponibilizou novas imagens ISO (versão 2025.1c) com a chave atualizada. Elas são idênticas às anteriores, exceto por esse pequeno detalhe crucial.
Déjà vu
Se você tem a impressão de que já assistiu a essa novela antes, em 2018, a chave do Kali expirou por acidente. Parece que até os hackers mais experientes esquecem de renovar assinaturas digitais de vez em quando.
E se você ainda não confia nas novas chaves, pode verificar as assinaturas no servidor de chaves do Ubuntu.
Vale reforçar que isso não significa que o Kali Linux está necessariamente inseguro. Apenas significa que alguém da equipe perdeu acesso a uma chave. Nada foi invadido, e o repositório permaneceu protegido durante todo o processo.
Fique por dentro das principais notícias da semana sobre Linux e tecnologia: assine nossa newsletter!
