Die vrystelling van Fedora 38 stel voor om die eerste fase van die oorgang na die gemoderniseerde selflaaiproses te implementeer wat voorheen deur Lennart Potting voorgestel is vir 'n volledige geverifieerde selflaai, wat alle stadiums van firmware tot gebruikersruimte dek, nie net die kern en selflaaiprogram nie. Die voorstel is nog nie deur die FESCo (Fedora Engineering Steering Committee) oorweeg nie, wat verantwoordelik is vir die tegniese deel van die ontwikkeling van die Fedora-verspreiding.
Die komponente vir die implementering van die voorgestelde idee is reeds geïntegreer in systemd 252 en kom daarop neer om, in plaas van die initrd-beeld wat op die plaaslike stelsel gegenereer word tydens die installering van die kernpakket, 'n verenigde kernbeeld UKI (Unified Kernel Image) te gebruik wat in die verspreiding gegenereer word. infrastruktuur en digitaal onderteken deur die verspreiding. UKI kombineer in een lêer die hanteerder vir die laai van die kern vanaf UEFI (UEFI boot stub), die Linux kern beeld en die initrd stelsel omgewing wat in die geheue gelaai is. As u 'n UKI-beeld vanaf UEFI oproep, is dit moontlik om die integriteit en betroubaarheid van die digitale handtekening van nie net die kern nie, maar ook die inhoud van die initrd na te gaan, waarvan die egtheidkontrole belangrik is, aangesien in hierdie omgewing die sleutels vir dekripteer die wortel FS word herwin.
Weens die beduidende veranderinge wat voorlê, word beplan om die implementering in verskeie fases te verdeel. In die eerste fase sal UKI-ondersteuning by die selflaaiprogram gevoeg word en die publikasie van 'n opsionele UKI-beeld sal begin, wat sal fokus op die selflaai van virtuele masjiene met 'n beperkte stel komponente en drywers, sowel as gereedskap wat verband hou met die installering en opdatering van UKI . In die tweede en derde stadium word daar beplan om weg te beweeg van die verbygaan van instellings op die kernopdragreël en ophou om sleutels in die initrd te stoor.
Bron: opennet.ru