Изданието на Fedora 38 предлага да се приложи първият етап от прехода към модернизирания процес на зареждане, предложен преди това от Ленарт Потинг за пълно проверено зареждане, обхващащо всички етапи от фърмуера до потребителското пространство, не само ядрото и буутлоудъра. Предложението все още не е разгледано от FESCo (Fedora Engineering Steering Committee), който отговаря за техническата част от разработката на дистрибуцията Fedora.
Компонентите за реализиране на предложената идея вече са интегрирани в systemd 252 и се свеждат до използването, вместо initrd изображението, генерирано в локалната система при инсталиране на пакета на ядрото, унифициран образ на ядрото UKI (Unified Kernel Image), генериран в дистрибуцията инфраструктура и цифрово подписана от дистрибуцията. UKI съчетава в един файл манипулатора за зареждане на ядрото от UEFI (UEFI boot stub), изображението на ядрото на Linux и системната среда initrd, заредена в паметта. При извикване на UKI изображение от UEFI е възможно да се провери целостта и надеждността на цифровия подпис не само на ядрото, но и на съдържанието на initrd, чиято автентичност е важна, тъй като в тази среда ключовете за дешифриране коренните FS се извличат.
Поради предстоящите значителни промени, изпълнението се предвижда да бъде разделено на няколко етапа. На първия етап поддръжката на UKI ще бъде добавена към буутлоудъра и ще започне публикуването на незадължително UKI изображение, което ще се фокусира върху зареждане на виртуални машини с ограничен набор от компоненти и драйвери, както и инструменти, свързани с инсталирането и актуализирането на UKI . На втория и третия етап се планира да се откаже от предаването на настройки в командния ред на ядрото и да се спре съхраняването на ключове в initrd.
Източник: opennet.ru