El lanzamiento de Fedora 38 propone implementar la primera etapa de la transición al proceso de arranque modernizado propuesto previamente por Lennart Potting para un arranque verificado completo, cubriendo todas las etapas desde el firmware hasta el espacio del usuario, no solo el kernel y el gestor de arranque. La propuesta aún no ha sido considerada por el FESCo (Fedora Engineering Steering Committee), que es responsable de la parte técnica del desarrollo de la distribución Fedora.
Los componentes para implementar la idea propuesta ya están integrados en systemd 252 y se reducen a usar, en lugar de la imagen initrd generada en el sistema local al instalar el paquete del kernel, una imagen del kernel unificada UKI (Unified Kernel Image), generada en la distribución. infraestructura y firmado digitalmente por la distribución. UKI combina en un archivo el controlador para cargar el kernel desde UEFI (stub de arranque UEFI), la imagen del kernel de Linux y el entorno del sistema initrd cargado en la memoria. Al llamar a una imagen UKI desde UEFI, es posible verificar la integridad y confiabilidad de la firma digital no solo del kernel, sino también del contenido del initrd, cuya autenticidad es importante ya que en este entorno las claves para descifrar se recuperan los FS raíz.
Debido a los importantes cambios que se avecinan, está previsto dividir la implementación en varias etapas. En la primera etapa, se agregará soporte UKI al gestor de arranque y comenzará la publicación de una imagen UKI opcional, que se centrará en el arranque de máquinas virtuales con un conjunto limitado de componentes y controladores, así como herramientas asociadas con la instalación y actualización de UKI. . En la segunda y tercera etapa, se planea dejar de pasar configuraciones en la línea de comando del kernel y dejar de almacenar claves en initrd.
Fuente: opennet.ru