Izdanje Fedore 38 predlaže implementaciju prve faze prijelaza na modernizirani proces pokretanja koji je prethodno predložio Lennart Potting za potpuno verificirano pokretanje, pokrivajući sve faze od firmvera do korisničkog prostora, a ne samo kernel i bootloader. Prijedlog još nije razmatran od strane FESCo (Fedora Engineering Steering Committee) koji je odgovoran za tehnički dio razvoja Fedora distribucije.
Komponente za implementaciju predložene ideje već su integrirane u systemd 252 i svode se na korištenje, umjesto initrd slike generirane na lokalnom sustavu prilikom instalacije kernel paketa, unificirane kernel slike UKI (Unified Kernel Image), generirane u distribuciji infrastrukture i digitalno potpisan od strane distribucije. UKI u jednoj datoteci kombinira rukovatelj za učitavanje kernela iz UEFI-ja (UEFI boot stub), sliku Linux kernela i initrd sistemsko okruženje učitano u memoriju. Prilikom pozivanja UKI slike iz UEFI-ja moguće je provjeriti cjelovitost i pouzdanost digitalnog potpisa ne samo kernela, već i sadržaja initrd-a, čija je provjera autentičnosti važna jer u ovom okruženju ključevi za dekriptiranje korijenski FS se dohvaćaju.
Zbog značajnih promjena koje predstoje, implementacija se planira podijeliti u nekoliko faza. U prvoj fazi, UKI podrška bit će dodana bootloaderu i počet će objavljivanje izborne UKI slike, koja će se fokusirati na pokretanje virtualnih strojeva s ograničenim skupom komponenti i upravljačkih programa, kao i alata povezanih s instaliranjem i ažuriranjem UKI-ja . U drugoj i trećoj fazi planira se odmaknuti od prosljeđivanja postavki na naredbenom retku jezgre i zaustaviti pohranjivanje ključeva u initrd.
Izvor: opennet.ru