Die Veröffentlichung von Fedora 38 schlägt vor, die erste Stufe des Übergangs zum modernisierten Boot-Prozess zu implementieren, der zuvor von Lennart Potting für einen vollständig verifizierten Boot-Prozess vorgeschlagen wurde, der alle Phasen von der Firmware bis zum Benutzerbereich abdeckt, nicht nur den Kernel und den Bootloader. Der Vorschlag wurde noch nicht vom FESCo (Fedora Engineering Steering Committee) geprüft, das für den technischen Teil der Entwicklung der Fedora-Distribution verantwortlich ist.
Die Komponenten zur Umsetzung der vorgeschlagenen Idee sind bereits in systemd 252 integriert und laufen darauf hinaus, anstelle des bei der Installation des Kernelpakets auf dem lokalen System generierten initrd-Images ein in der Distribution generiertes einheitliches Kernel-Image UKI (Unified Kernel Image) zu verwenden Infrastruktur und von der Distribution digital signiert. UKI vereint in einer Datei den Handler zum Laden des Kernels aus UEFI (UEFI-Boot-Stub), das Linux-Kernel-Image und die in den Speicher geladene initrd-Systemumgebung. Beim Aufruf eines UKI-Images von UEFI ist es möglich, die Integrität und Zuverlässigkeit der digitalen Signatur nicht nur des Kernels, sondern auch des Inhalts der initrd zu überprüfen, deren Authentizitätsprüfung wichtig ist, da in dieser Umgebung die Schlüssel zum Entschlüsseln vorhanden sind Die Root-FS werden abgerufen.
Aufgrund der bevorstehenden erheblichen Änderungen ist die Umsetzung in mehrere Phasen unterteilt. In der ersten Phase wird dem Bootloader UKI-Unterstützung hinzugefügt und mit der Veröffentlichung eines optionalen UKI-Images begonnen, das sich auf das Booten virtueller Maschinen mit einem begrenzten Satz an Komponenten und Treibern sowie auf Tools im Zusammenhang mit der Installation und Aktualisierung von UKI konzentriert . In der zweiten und dritten Phase ist geplant, von der Übergabe von Einstellungen in der Kernel-Befehlszeile Abstand zu nehmen und die Speicherung von Schlüsseln in der initrd einzustellen.
Source: opennet.ru