Lansarea Fedora 38 propune implementarea primei etape a tranziției la procesul de boot modernizat propus anterior de Lennart Potting pentru o pornire complet verificată, acoperind toate etapele de la firmware la spațiul utilizatorului, nu doar kernel și bootloader. Propunerea nu a fost încă luată în considerare de FESCo (Fedora Engineering Steering Committee), care este responsabil pentru partea tehnică a dezvoltării distribuției Fedora.
Componentele pentru implementarea ideii propuse sunt deja integrate în systemd 252 și se rezumă la utilizarea, în locul imaginii initrd generată pe sistemul local la instalarea pachetului kernel, a unei imagini kernel unificate UKI (Unified Kernel Image), generată în distribuție. infrastructură și semnat digital de distribuție. UKI combină într-un singur fișier handlerul pentru încărcarea nucleului din UEFI (UEFI boot stub), imaginea kernel-ului Linux și mediul de sistem initrd încărcat în memorie. Când apelați o imagine UKI de la UEFI, este posibil să verificați integritatea și fiabilitatea semnăturii digitale nu numai a nucleului, ci și a conținutului initrd, a cărui verificare a autenticității este importantă, deoarece în acest mediu cheile pentru decriptare rădăcina FS sunt preluate.
Datorită schimbărilor semnificative care urmează, implementarea este planificată a fi împărțită în mai multe etape. În prima etapă, suportul UKI va fi adăugat la bootloader și va începe publicarea unei imagini opționale UKI, care se va concentra pe pornirea mașinilor virtuale cu un set limitat de componente și drivere, precum și instrumente asociate cu instalarea și actualizarea UKI. . În a doua și a treia etapă, se plănuiește să se îndepărteze de la trecerea setărilor pe linia de comandă a nucleului și să se oprească stocarea cheilor în initrd.
Sursa: opennet.ru