În versiunea Fedora Linux 40 планируют реализовать вторую стадию перехода на модернизированный процесс загрузки, предложенный Леннартом Поттерингом. Отличия от классической загрузки сводятся к использованию вместо образа initrd, формируемого на локальной системе при установке пакета с ядром, унифицированного образа ядра UKI (Unified Kernel Image), генерируемого в инфраструктуре дистрибутива и заверенного цифровой подписью дистрибутива. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora.
Образ UKI объединяет в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux și mediul de sistem initrd încărcat în memorie. La încărcarea imaginii UKI din UEFI, este posibil să se verifice integritatea și autenticitatea nu numai a kernelului, ci și a conținutului initrd folosind o semnătură digitală. Validarea initrd este importantă deoarece acest mediu este locul în care sunt extrase cheile pentru decriptarea sistemului de fișiere rădăcină.
Первая стадия внедрения UKI была выполнена в Fedora Linux 38 и привела к добавлению поддержки UKI в загрузчик, реализации инструментария для установки и обновления UKI, а также формированию экспериментального образа UKI для загрузки mașini virtuale cu un set limitat de componente și drivere.
În a doua etapă, intenționăm să adăugăm capacitatea de a încărca direct UKI din modulul UEFI shim.efi fără a folosi un bootloader separat (grub, sd-boot), să implementăm capacitatea de a utiliza UKI pe sisteme cu arhitectură Aarch64 și să pregătim un versiunea imaginii UKI pentru medii cloud și mașini virtuale protejate.
Sursa: opennet.ru
