Fedora 38 foreslår at implementere den første fase af overgangen til en moderniseret bootproces, tidligere foreslået af Lennart Poettering, for at organisere en fuldt verificeret boot, der dækker alle faser fra firmware til brugerplads, og ikke kun kernen og bootloaderen. Forslaget er endnu ikke blevet gennemgået af Fedora Engineering Steering Committee (FESCo), som er ansvarlig for den tekniske del af Fedora-distributionsudviklingen.
Komponenterne til implementering af den foreslåede idé er allerede integreret i systemd 252 og koger ned til at bruge et samlet kernelbillede (UKI), der genereres i distributionsinfrastrukturen og signeres digitalt af distributionen, i stedet for initrd-billedet, der genereres på det lokale system under installation af kernelpakken. UKI kombinerer en handler til indlæsning af kernen fra UEFI (UEFI boot stub) og kernelbilledet i en enkelt fil. Linux og initrd-systemmiljøet indlæst i hukommelsen. Når UKI-billedet indlæses fra UEFI, er det muligt at verificere integriteten og ægtheden af ikke kun kernen, men også initrd-indholdet ved hjælp af en digital signatur. Validering af initrd er vigtig, fordi det er i dette miljø, at nøglerne til dekryptering af rodfilsystemet udvindes.
På grund af betydelige kommende ændringer er udrulningen planlagt til at blive opdelt i flere faser. I første fase vil UKI-understøttelse blive tilføjet til bootloaderen, og et valgfrit UKI-image vil blive udgivet med fokus på opstart. virtuel maskine med et begrænset sæt komponenter og drivere, samt værktøjer relateret til UKI-installation og -opdatering. I anden og tredje fase planlægger vi at eliminere behovet for at sende indstillinger via kernelkommandolinjen og stoppe med at gemme nøgler i initrd.
Kilde: opennet.ru
