Η κυκλοφορία του Fedora 38 προτείνει το πρώτο στάδιο της μετάβασης σε μια εκσυγχρονισμένη διαδικασία εκκίνησης, που προτάθηκε προηγουμένως από τον Lennart Potting για μια πλήρη επαληθευμένη εκκίνηση, που καλύπτει όλα τα στάδια από το υλικολογισμικό μέχρι τον χώρο χρήστη, όχι μόνο τον πυρήνα και τον φορτωτή εκκίνησης. Η πρόταση δεν έχει ακόμη εξεταστεί από την FESCo (Fedora Engineering Steering Committee), η οποία είναι υπεύθυνη για το τεχνικό μέρος της ανάπτυξης της διανομής Fedora.
Τα στοιχεία για την υλοποίηση της προτεινόμενης ιδέας είναι ήδη ενσωματωμένα στο systemd 252 και καταλήγουν στη χρήση, αντί της αρχικής εικόνας που δημιουργείται στο τοπικό σύστημα κατά την εγκατάσταση του πακέτου πυρήνα, μιας ενοποιημένης εικόνας πυρήνα UKI (Unified Kernel Image), που δημιουργείται στη διανομή υποδομής και ψηφιακά υπογεγραμμένο από τη διανομή. Το UKI συνδυάζει σε ένα αρχείο το πρόγραμμα χειρισμού για τη φόρτωση του πυρήνα από το UEFI (στέλωμα εκκίνησης UEFI), την εικόνα του πυρήνα του Linux και το περιβάλλον συστήματος initrd που έχει φορτωθεί στη μνήμη. Όταν καλείτε μια εικόνα UKI από το UEFI, μπορείτε να ελέγξετε την ακεραιότητα και την αξιοπιστία της ψηφιακής υπογραφής όχι μόνο του πυρήνα, αλλά και των περιεχομένων του initrd, η επαλήθευση της αξιοπιστίας του οποίου είναι σημαντική αφού σε αυτό το περιβάλλον τα κλειδιά για αποκρυπτογράφηση του ριζικού FS ανακτώνται.
Λόγω των σημαντικών αλλαγών που έρχονται, η υλοποίηση σχεδιάζεται να χωριστεί σε διάφορα στάδια. Στο πρώτο στάδιο, η υποστήριξη UKI θα προστεθεί στον bootloader και θα ξεκινήσει η δημοσίευση μιας προαιρετικής εικόνας UKI, η οποία θα επικεντρωθεί στην εκκίνηση εικονικών μηχανών με περιορισμένο σύνολο στοιχείων και προγραμμάτων οδήγησης, καθώς και σε εργαλεία που σχετίζονται με την εγκατάσταση και την ενημέρωση UKI . Στο δεύτερο και το τρίτο στάδιο, σχεδιάζεται να απομακρυνθούμε από τη μετάδοση ρυθμίσεων στη γραμμή εντολών του πυρήνα και να σταματήσουμε την αποθήκευση κλειδιών στο initrd.
Πηγή: opennet.ru