O lançamento do Fedora 38 propõe implementar o primeiro estágio da transição para o processo de inicialização modernizado proposto anteriormente por Lennart Potting para uma inicialização totalmente verificada, cobrindo todos os estágios do firmware ao espaço do usuário, não apenas o kernel e o gerenciador de inicialização. A proposta ainda não foi considerada pelo FESCo (Fedora Engineering Steering Committee), responsável pela parte técnica do desenvolvimento da distribuição Fedora.
Os componentes para implementação da ideia proposta já estão integrados ao systemd 252 e se resumem a utilizar, ao invés da imagem initrd gerada no sistema local ao instalar o pacote kernel, uma imagem unificada do kernel UKI (Unified Kernel Image), gerada na distribuição infraestrutura e assinado digitalmente pela distribuição. UKI combina em um arquivo o manipulador para carregar o kernel do UEFI (UEFI boot stub), a imagem do kernel Linux e o ambiente do sistema initrd carregado na memória. Ao chamar uma imagem UKI da UEFI, é possível verificar a integridade e confiabilidade da assinatura digital não apenas do kernel, mas também do conteúdo do initrd, cuja verificação de autenticidade é importante, pois neste ambiente as chaves para descriptografar os FS raiz são recuperados.
Devido às mudanças significativas que virão, a implementação está prevista para ser dividida em várias etapas. Na primeira fase, o suporte UKI será adicionado ao bootloader e terá início a publicação de uma imagem UKI opcional, que se concentrará na inicialização de máquinas virtuais com um conjunto limitado de componentes e drivers, bem como ferramentas associadas à instalação e atualização do UKI . No segundo e terceiro estágios, está planejado deixar de passar as configurações na linha de comando do kernel e parar de armazenar chaves no initrd.
Fonte: opennet.ru