Wydanie Fedory 38 proponuje wdrożenie pierwszego etapu przejścia do zmodernizowanego procesu rozruchu zaproponowanego wcześniej przez Lennarta Pottinga w celu pełnego zweryfikowanego rozruchu, obejmującego wszystkie etapy od oprogramowania układowego po przestrzeń użytkownika, a nie tylko jądro i program ładujący. Propozycja nie została jeszcze rozpatrzona przez FESCo (Komitet Sterujący ds. Inżynierii Fedory), który odpowiada za techniczną część rozwoju dystrybucji Fedory.
Komponenty umożliwiające realizację proponowanego pomysłu są już zintegrowane z systemd 252 i sprowadzają się do wykorzystania zamiast obrazu initrd generowanego na systemie lokalnym podczas instalacji pakietu jądra, ujednoliconego obrazu jądra UKI (Unified Kernel Image), generowanego w dystrybucji infrastruktury i podpisane cyfrowo przez dystrybucję. UKI łączy w jednym pliku procedurę ładowania jądra z UEFI (odgałęzienie rozruchowe UEFI), obraz jądra Linuksa i środowisko systemowe initrd ładowane do pamięci. Wywołując obraz UKI z UEFI, można sprawdzić integralność i niezawodność podpisu cyfrowego nie tylko jądra, ale także zawartości initrd, którego sprawdzenie autentyczności jest ważne, ponieważ w tym środowisku klucze do odszyfrowania pobierane są główne pliki FS.
Ze względu na istotne zmiany, jakie nas czekają, wdrożenie planuje się podzielić na kilka etapów. W pierwszym etapie do bootloadera zostanie dodana obsługa UKI oraz rozpocznie się publikacja opcjonalnego obrazu UKI, który skupi się na uruchamianiu maszyn wirtualnych z ograniczonym zestawem komponentów i sterowników, a także narzędziami związanymi z instalacją i aktualizacją UKI . W drugim i trzecim etapie planowane jest odejście od przekazywania ustawień w wierszu poleceń jądra i zaprzestanie przechowywania kluczy w pliku initrd.
Źródło: opennet.ru