Fedora 38 väljalase teeb ettepaneku rakendada Lennart Pottingu poolt varem pakutud moderniseeritud alglaadimisprotsessile ülemineku esimene etapp täieliku kontrollitud alglaadimise jaoks, mis hõlmab kõiki etappe püsivarast kasutajaruumini, mitte ainult kernelit ja alglaadurit. Fedora distributsiooni arendamise tehnilise osa eest vastutav FESCo (Fedora Engineering Steering Committee) ei ole ettepanekut veel kaalunud.
Pakutud idee elluviimise komponendid on juba integreeritud süsteemi 252-sse ja taanduvad sellele, et tuumapaketi installimisel kohalikus süsteemis genereeritud initrd-pildi asemel kasutatakse distributsioonis genereeritud ühtset kerneli kujutist UKI (Unified Kernel Image). taristu ja digitaalselt allkirjastatud distributsiooni poolt. UKI ühendab ühes failis UEFI-st kerneli laadimise töötleja (UEFI boot stub), Linuxi kerneli kujutise ja mällu laaditud süsteemikeskkonna initrd. UKI-pildi kutsumisel UEFI-st on võimalik kontrollida mitte ainult tuuma, vaid ka initrd-i sisu digiallkirja terviklikkust ja usaldusväärsust, mille autentsuse kontroll on oluline, kuna selles keskkonnas on dekrüpteerimise võtmed juur-FS otsitakse.
Eesolevate oluliste muudatuste tõttu on juurutamine plaanis jagada mitmeks etapiks. Esimeses etapis lisatakse alglaadurile UKI tugi ja algab valikulise UKI pildi avaldamine, mis keskendub piiratud komplekti komponentide ja draiveritega virtuaalsete masinate käivitamisele ning UKI installimise ja värskendamisega seotud tööriistadele. . Teises ja kolmandas etapis on kavas loobuda sätete edastamisest kerneli käsureal ja lõpetada võtmete salvestamine initrd-is.
Allikas: opennet.ru