Vydání Fedory 38 navrhuje implementovat první fázi přechodu na modernizovaný proces bootování, který dříve navrhl Lennart Potting pro plně ověřené bootování, pokrývající všechny fáze od firmwaru po uživatelský prostor, nejen jádro a bootloader. Návrhem se zatím nezabýval FESCo (Fedora Engineering Steering Committee), který je zodpovědný za technickou část vývoje distribuce Fedora.
Komponenty pro implementaci navrhované myšlenky jsou již integrovány do systemd 252 a omezují se na použití namísto obrazu initrd generovaného na místním systému při instalaci balíčku jádra, jednotného obrazu jádra UKI (Unified Kernel Image), generovaného v distribuci. infrastruktury a digitálně podepsané distribucí. UKI spojuje v jednom souboru handler pro načítání jádra z UEFI (UEFI boot stub), obraz linuxového jádra a systémové prostředí initrd načtené do paměti. Při volání obrazu UKI z UEFI je možné zkontrolovat integritu a spolehlivost digitálního podpisu nejen jádra, ale také obsahu initrd, jehož autentičnost je důležitá, protože v tomto prostředí jsou klíče pro dešifrování jsou načteny kořenové FS.
Vzhledem k významným změnám, které nás čekají, je plánováno rozdělení implementace do několika etap. V první fázi bude do bootloaderu přidána podpora UKI a bude zahájeno zveřejňování volitelného obrazu UKI, který se zaměří na zavádění virtuálních strojů s omezenou sadou komponent a ovladačů a také na nástroje spojené s instalací a aktualizací UKI . Ve druhé a třetí fázi se plánuje opustit předávání nastavení na příkazovém řádku jádra a přestat ukládat klíče do initrd.
Zdroj: opennet.ru