Publikimi i Fedora 38 propozon zbatimin e fazës së parë të kalimit në procesin e boot-it të modernizuar të propozuar më parë nga Lennart Potting për një boot të plotë të verifikuar, duke mbuluar të gjitha fazat nga firmware në hapësirën e përdoruesit, jo vetëm kernel dhe bootloader. Propozimi ende nuk është shqyrtuar nga FESCo (Komiteti Drejtues i Inxhinierisë Fedora), i cili është përgjegjës për pjesën teknike të zhvillimit të shpërndarjes Fedora.
Komponentët për zbatimin e idesë së propozuar tashmë janë integruar në systemd 252 dhe përfundojnë në përdorimin, në vend të imazhit të parë të gjeneruar në sistemin lokal gjatë instalimit të paketës së kernelit, një imazh të unifikuar të kernelit UKI (Imazhi i unifikuar i kernelit), i krijuar në shpërndarje. infrastrukturës dhe të nënshkruar në mënyrë dixhitale nga distribucioni. UKI kombinon në një skedar mbajtësin për ngarkimin e kernelit nga UEFI (cung boot UEFI), imazhin e kernelit Linux dhe mjedisin e sistemit initrd të ngarkuar në memorie. Kur telefononi një imazh UKI nga UEFI, është e mundur të kontrolloni integritetin dhe besueshmërinë e nënshkrimit dixhital jo vetëm të kernelit, por edhe të përmbajtjes së initrd, kontrolli i origjinalitetit i të cilit është i rëndësishëm pasi në këtë mjedis çelësat për deshifrimin rrënja FS janë marrë.
Për shkak të ndryshimeve të rëndësishme në vazhdim, zbatimi është planifikuar të ndahet në disa faza. Në fazën e parë, mbështetja UKI do të shtohet në ngarkuesin dhe do të fillojë publikimi i një imazhi opsional UKI, i cili do të fokusohet në nisjen e makinave virtuale me një grup të kufizuar komponentësh dhe drejtuesish, si dhe mjete që lidhen me instalimin dhe përditësimin e UKI . Në fazën e dytë dhe të tretë, është planifikuar të largoheni nga kalimi i cilësimeve në vijën e komandës së kernelit dhe të ndaloni ruajtjen e çelësave në initrd.
Burimi: opennet.ru