Vydanie Fedory 38 navrhuje implementovať prvú fázu prechodu na modernizovaný proces zavádzania, ktorý predtým navrhol Lennart Potting pre plne overené spustenie, pokrývajúce všetky fázy od firmvéru po užívateľský priestor, nielen jadro a zavádzač. Návrh ešte nebol posúdený FESCo (Fedora Engineering Steering Committee), ktorý je zodpovedný za technickú časť vývoja distribúcie Fedora.
Komponenty na implementáciu navrhovanej myšlienky sú už integrované do systemd 252 a zredukujú sa na použitie namiesto obrazu initrd vygenerovaného na lokálnom systéme pri inštalácii balíka jadra, jednotného obrazu jadra UKI (Unified Kernel Image), vygenerovaného v distribúcii. infraštruktúry a digitálne podpísané distribúciou. UKI spája v jednom súbore obslužný program na načítanie jadra z UEFI (UEFI boot stub), obraz jadra Linuxu a systémové prostredie initrd načítané do pamäte. Pri volaní obrazu UKI z UEFI je možné skontrolovať integritu a spoľahlivosť digitálneho podpisu nielen jadra, ale aj obsahu initrd, ktorého pravosť je dôležitá, pretože v tomto prostredí sú kľúče na dešifrovanie sú obnovené koreňové FS.
Vzhľadom na výrazné zmeny, ktoré nás čakajú, sa implementácia plánuje rozdeliť do niekoľkých etáp. V prvej fáze bude do bootloadera pridaná podpora UKI a začne sa zverejňovanie voliteľného obrazu UKI, ktorý sa zameria na zavádzanie virtuálnych strojov s obmedzenou sadou komponentov a ovládačov, ako aj nástrojov spojených s inštaláciou a aktualizáciou UKI. . V druhej a tretej fáze sa plánuje opustiť odovzdávanie nastavení na príkazovom riadku jadra a zastaviť ukladanie kľúčov v initrd.
Zdroj: opennet.ru