Udgivelsen af Fedora 38 foreslår at implementere det første trin af overgangen til den moderniserede opstartsproces, som tidligere blev foreslået af Lennart Potting for en fuld verificeret opstart, der dækker alle stadier fra firmware til brugerrum, ikke kun kernen og bootloaderen. Forslaget er endnu ikke blevet behandlet af FESCo (Fedora Engineering Steering Committee), som er ansvarlig for den tekniske del af udviklingen af Fedora-distributionen.
Komponenterne til implementering af den foreslåede idé er allerede integreret i systemd 252 og koges ned til at bruge, i stedet for initrd-billedet, der genereres på det lokale system, når kernepakken installeres, et unified kernel image UKI (Unified Kernel Image), genereret i distributionen infrastruktur og digitalt signeret af distributionen. UKI kombinerer i én fil handleren til indlæsning af kernen fra UEFI (UEFI boot stub), Linux-kernebilledet og initrd-systemmiljøet indlæst i hukommelsen. Når du kalder et UKI-billede fra UEFI, er det muligt at kontrollere integriteten og pålideligheden af den digitale signatur af ikke kun kernen, men også indholdet af initrd, hvilket verifikation af pålideligheden er vigtigt, da nøglerne til dette miljø dekryptering af root-FS hentes.
På grund af de væsentlige ændringer forude planlægges implementeringen opdelt i flere etaper. I første fase vil UKI-understøttelse blive tilføjet til opstartsindlæseren, og udgivelsen af et valgfrit UKI-image vil begynde, som vil fokusere på opstart af virtuelle maskiner med et begrænset sæt komponenter og drivere, samt værktøjer forbundet med installation og opdatering af UKI . På andet og tredje trin er det planlagt at gå væk fra at sende indstillinger på kernens kommandolinje og stoppe med at gemme nøgler i initrd.
Kilde: opennet.ru