Il rilascio di Fedora 38 propone di implementare la prima fase della transizione al processo di avvio modernizzato precedentemente proposto da Lennart Potting per un avvio completamente verificato, coprendo tutte le fasi dal firmware allo spazio utente, non solo il kernel e il bootloader. La proposta non è stata ancora presa in considerazione dal FESCo (Fedora Engineering Steering Committee), che è responsabile della parte tecnica dello sviluppo della distribuzione Fedora.
I componenti per l'implementazione dell'idea proposta sono già integrati in systemd 252 e si riducono all'utilizzo, invece dell'immagine initrd generata sul sistema locale durante l'installazione del pacchetto kernel, un'immagine unificata del kernel UKI (Unified Kernel Image), generata nella distribuzione infrastruttura e firmati digitalmente dalla distribuzione. UKI combina in un unico file l'handler per caricare il kernel da UEFI (stub di avvio UEFI), l'immagine del kernel Linux e l'ambiente di sistema initrd caricato in memoria. Quando si richiama un'immagine UKI da UEFI, è possibile verificare l'integrità e l'affidabilità della firma digitale non solo del kernel, ma anche del contenuto dell'initrd, il cui controllo di autenticità è importante poiché in questo ambiente le chiavi per decrittografare vengono recuperati i FS root.
A causa dei notevoli cambiamenti futuri, si prevede che l’implementazione sarà suddivisa in più fasi. Nella prima fase, il supporto UKI verrà aggiunto al bootloader e inizierà la pubblicazione di un'immagine UKI opzionale, che si concentrerà sull'avvio di macchine virtuali con un set limitato di componenti e driver, nonché sugli strumenti associati all'installazione e all'aggiornamento di UKI. . Nella seconda e terza fase, si prevede di abbandonare il passaggio delle impostazioni sulla riga di comando del kernel e di interrompere la memorizzazione delle chiavi in initrd.
Fonte: opennet.ru