У выпуску Fedora 38 прапанавана рэалізаваць першую стадыю пераходу на мадэрнізаваны працэс загрузкі, раней прапанаваны Ленартам Потэрынгам для арганізацыі паўнавартаснай верыфікаванай загрузкі, якая ахоплівае ўсе этапы ад прашыўкі да прасторы карыстача, а не толькі ядры і загрузніка. Прапанова пакуль не разгледжана камітэтам FESCo (Fedora Engineering Steering Committee), які адказвае за тэхнічную частку распрацоўкі дыстрыбутыва Fedora.
Кампаненты для рэалізацыі прапанаванай ідэі ўжо інтэграваныя ў systemd 252 і зводзяцца да выкарыстання замест выявы initrd, фармаванага на лакальнай сістэме пры ўсталёўцы пакета з ядром, уніфікаванай выявы ядра UKI (Unified Kernel Image), генераванага ў інфраструкуры дыстрыбутыва і заверанага лічба. UKI аб'ядноўвае ў адным файле апрацоўшчык для загрузкі ядра з UEFI (UEFI boot stub), выява ядра Linux і загружанае ў памяць сістэмнае асяроддзе initrd. Пры выкліку выявы UKI з UEFI падаецца магчымасць праверкі цэласнасці і дакладнасці па лічбавым подпісе не толькі ядра, але і змесціва initrd, праверка дакладнасці якога важная бо ў дадзеным асяроддзі ажыццяўляецца выманне ключоў для расшыфроўкі каранёвай ФС.
З-за значна маючых адбыцца змен укараненне плануецца падзяліць на некалькі стадый. На першай стадыі падтрымка UKI будзе дададзена ў загрузнік і пачнецца публікацыя апцыянальнай выявы UKI, які будзе сфакусаваны на загрузцы віртуальных машын з абмежаваным наборам кампанентаў і драйвераў, а таксама звязанага з усталёўкай і абнаўленнем UKI інструментара. На другой і трэцяй стадыях плануецца сысці ад перадачы налад у камандным радку ядра і спыніць захоўванне ключоў у initrd.
Крыніца: opennet.ru