Rilis Fedora 38 mengusulkan untuk mengimplementasikan tahap pertama transisi ke proses boot modern yang sebelumnya diusulkan oleh Lennart Potting untuk boot terverifikasi penuh, yang mencakup semua tahapan mulai dari firmware hingga ruang pengguna, tidak hanya kernel dan bootloader. Proposal tersebut belum dipertimbangkan oleh FESCo (Fedora Engineering Steering Committee), yang bertanggung jawab atas bagian teknis pengembangan distribusi Fedora.
Komponen untuk mengimplementasikan ide yang diusulkan sudah terintegrasi ke dalam systemd 252 dan direduksi menjadi penggunaan, alih-alih gambar initrd yang dihasilkan pada sistem lokal saat menginstal paket kernel, gambar kernel terpadu UKI (Unified Kernel Image), yang dihasilkan dalam distribusi infrastruktur dan ditandatangani secara digital oleh distribusi. UKI menggabungkan dalam satu file handler untuk memuat kernel dari UEFI (UEFI boot stub), image kernel Linux dan lingkungan sistem initrd yang dimuat ke dalam memori. Saat memanggil gambar UKI dari UEFI, dimungkinkan untuk memeriksa integritas dan keandalan tanda tangan digital tidak hanya kernel, tetapi juga konten initrd, pemeriksaan keasliannya penting karena dalam lingkungan ini kunci untuk mendekripsi root FS diambil.
Karena adanya perubahan signifikan ke depan, maka pelaksanaannya rencananya akan dibagi menjadi beberapa tahap. Pada tahap pertama, dukungan UKI akan ditambahkan ke bootloader dan publikasi image UKI opsional akan dimulai, yang akan fokus pada booting mesin virtual dengan serangkaian komponen dan driver terbatas, serta alat yang terkait dengan instalasi dan pembaruan UKI . Pada tahap kedua dan ketiga, direncanakan untuk beralih dari meneruskan pengaturan pada baris perintah kernel dan berhenti menyimpan kunci di initrd.
Sumber: opennet.ru