La version de Fedora 38 propose la première étape de la transition vers un processus de démarrage modernisé, précédemment proposé par Lennart Potting pour un démarrage entièrement vérifié, couvrant toutes les étapes du micrologiciel à l'espace utilisateur, et pas seulement le noyau et le chargeur de démarrage. La proposition n'a pas encore été examinée par le FESCo (Fedora Engineering Steering Committee), qui est responsable de la partie technique du développement de la distribution Fedora.
Les composants pour implémenter l'idée proposée sont déjà intégrés dans systemd 252 et se résument à utiliser, à la place de l'image initrd générée sur le système local lors de l'installation du package du noyau, une image de noyau unifiée UKI (Unified Kernel Image), générée dans la distribution infrastructure et signés numériquement par la distribution. UKI combine dans un seul fichier le gestionnaire de chargement du noyau depuis l'UEFI (stub de démarrage UEFI), l'image du noyau Linux et l'environnement système initrd chargé en mémoire. Lors de l'appel d'une image UKI depuis l'UEFI, il est possible de vérifier l'intégrité et la fiabilité de la signature numérique non seulement du noyau, mais également du contenu de l'initrd, dont le contrôle d'authenticité est important puisque dans cet environnement les clés de déchiffrement les FS racine sont récupérés.
En raison des changements importants à venir, la mise en œuvre devrait être divisée en plusieurs étapes. Dans un premier temps, la prise en charge d'UKI sera ajoutée au chargeur de démarrage et la publication d'une image UKI facultative commencera, qui se concentrera sur le démarrage des machines virtuelles avec un ensemble limité de composants et de pilotes, ainsi que des outils associés à l'installation et à la mise à jour d'UKI. . Aux deuxième et troisième étapes, il est prévu d'abandonner la transmission des paramètres sur la ligne de commande du noyau et d'arrêter de stocker les clés dans initrd.
Source: opennet.ru