Izdanje Fedora 38 predlaže implementaciju prvog koraka migracije na nadograđeni proces pokretanja koji je prethodno predložio Lennart Pottering kako bi se osiguralo potpuno provjereno pokretanje koje pokriva sve korake od firmvera do korisničkog prostora, a ne samo kernel i bootloader. Prijedlog još nije pregledao FESCo (Fedora inženjerski upravni odbor), koji je odgovoran za tehnički dio razvoja Fedora distribucije.
Komponente za implementaciju predložene ideje su već integrisane u systemd 252 i svode se na korišćenje, umesto initrd slike generisane na lokalnom sistemu prilikom instaliranja kernel paketa, unificirane slike kernela UKI (Unified Kernel Image), generisane u distribuciji infrastrukture i ovjerena digitalnim potpisom distribucije. UKI kombinuje rukovalac za dizanje kernela iz UEFI (UEFI boot stub), sliku jezgra Linuxa i initrd sistemsko okruženje učitano u memoriju u jednoj datoteci. Prilikom pozivanja UKI slike iz UEFI-ja, moguće je provjeriti integritet i valjanost digitalnog potpisa ne samo kernela, već i sadržaja initrd-a, čija je validacija važna jer se u ovom okruženju ključevi izdvajaju za dešifriranje korijenski FS.
Zbog značajnih nadolazećih promjena, planirano je da se realizacija podijeli u nekoliko faza. U prvoj fazi, u bootloader će biti dodata podrška za UKI i počet će objavljivanje opcionalne UKI slike, koja će se fokusirati na dizanje virtuelnih mašina s ograničenim skupom komponenti i drajvera, kao i alata povezanih s instaliranjem i ažuriranjem UKI-ja. . U drugoj i trećoj fazi planira se izbjeći prosljeđivanje postavki na komandnoj liniji kernela i prestati pohranjivati ključeve u initrd.
izvor: opennet.ru