De release van Fedora 38 stelt voor om de eerste fase van de overgang naar het gemoderniseerde opstartproces te implementeren, eerder voorgesteld door Lennart Potting, voor een volledig geverifieerde opstart, die alle fasen omvat, van firmware tot gebruikersruimte, niet alleen de kernel en bootloader. Het voorstel is nog niet in overweging genomen door de FESCo (Fedora Engineering Steering Committee), die verantwoordelijk is voor het technische deel van de ontwikkeling van de Fedora-distributie.
De componenten voor het implementeren van het voorgestelde idee zijn al geïntegreerd in systemd 252 en komen neer op het gebruik van, in plaats van de initrd-image die op het lokale systeem wordt gegenereerd bij het installeren van het kernelpakket, een verenigde kernelimage UKI (Unified Kernel Image), gegenereerd in de distributie infrastructuur en digitaal ondertekend door de distributie. UKI combineert in één bestand de handler voor het laden van de kernel vanuit UEFI (UEFI boot stub), de Linux-kernelimage en de initrd-systeemomgeving die in het geheugen is geladen. Bij het aanroepen van een UKI-image vanuit UEFI is het mogelijk om de integriteit en betrouwbaarheid van de digitale handtekening van niet alleen de kernel, maar ook de inhoud van de initrd te controleren, waarvan de authenticiteitscontrole belangrijk is omdat in deze omgeving de sleutels voor het decoderen de root-FS wordt opgehaald.
Vanwege de belangrijke veranderingen die voor ons liggen, is het de bedoeling dat de implementatie in verschillende fasen wordt verdeeld. In de eerste fase zal UKI-ondersteuning aan de bootloader worden toegevoegd en zal de publicatie van een optioneel UKI-image beginnen, die zich zal richten op het opstarten van virtuele machines met een beperkte set componenten en stuurprogramma's, evenals tools die verband houden met het installeren en updaten van UKI . In de tweede en derde fase is het de bedoeling om af te stappen van het doorgeven van instellingen op de kernelopdrachtregel en te stoppen met het opslaan van sleutels in de initrd.
Bron: opennet.ru