Utgivelsen av Fedora 38 foreslår å implementere den første fasen av overgangen til den moderniserte oppstartsprosessen tidligere foreslått av Lennart Potting for en fullstendig verifisert oppstart, som dekker alle stadier fra fastvare til brukerplass, ikke bare kjernen og oppstartslasteren. Forslaget er ennå ikke behandlet av FESCo (Fedora Engineering Steering Committee), som er ansvarlig for den tekniske delen av utviklingen av Fedora-distribusjonen.
Komponentene for å implementere den foreslåtte ideen er allerede integrert i systemd 252 og koker ned til å bruke, i stedet for initrd-bildet generert på det lokale systemet når du installerer kjernepakken, et enhetlig kjernebilde UKI (Unified Kernel Image), generert i distribusjonen infrastruktur og digitalt signert av distribusjonen. UKI kombinerer i én fil behandleren for å laste inn kjernen fra UEFI (UEFI boot stub), Linux-kjernebildet og initrd-systemmiljøet lastet inn i minnet. Når du ringer et UKI-bilde fra UEFI, er det mulig å sjekke integriteten og påliteligheten til den digitale signaturen til ikke bare kjernen, men også innholdet i initrd, hvis autentisitetssjekk er viktig siden nøklene for dekryptering i dette miljøet rot-FS er hentet.
På grunn av de betydelige endringene fremover, planlegges implementeringen delt opp i flere etapper. I den første fasen vil UKI-støtte legges til oppstartslasteren og publiseringen av et valgfritt UKI-bilde vil begynne, som vil fokusere på oppstart av virtuelle maskiner med et begrenset sett med komponenter og drivere, samt verktøy knyttet til installasjon og oppdatering av UKI . På andre og tredje trinn er det planlagt å gå bort fra å sende innstillinger på kjernekommandolinjen og slutte å lagre nøkler i initrd.
Kilde: opennet.ru