Utgivningen av Fedora 38 föreslår att implementera det första steget av övergången till den moderniserade startprocessen som tidigare föreslagits av Lennart Potting för en fullständig verifierad uppstart, som täcker alla stadier från firmware till användarutrymme, inte bara kärnan och starthanteraren. Förslaget har ännu inte behandlats av FESCo (Fedora Engineering Steering Committee), som ansvarar för den tekniska delen av utvecklingen av Fedora-distributionen.
Komponenterna för att implementera den föreslagna idén är redan integrerade i systemd 252 och går ner till att använda, istället för den initrd-bild som genereras på det lokala systemet när kärnpaketet installeras, en unified kernel image UKI (Unified Kernel Image), genererad i distributionen infrastruktur och digitalt signerad av distributionen. UKI kombinerar i en fil hanteraren för att ladda kärnan från UEFI (UEFI boot stub), Linux-kärnavbildningen och initrd-systemmiljön inläst i minnet. När du anropar en UKI-bild från UEFI är det möjligt att kontrollera integriteten och tillförlitligheten av den digitala signaturen för inte bara kärnan utan även innehållet i initrd, vars äkthetskontroll är viktig eftersom nycklarna för dekryptering i denna miljö rot-FS hämtas.
På grund av de betydande förändringar som väntar planeras genomförandet att delas upp i flera etapper. I det första steget kommer UKI-stöd att läggas till i starthanteraren och publiceringen av en valfri UKI-avbildning kommer att börja, som kommer att fokusera på att starta upp virtuella maskiner med en begränsad uppsättning komponenter och drivrutiner, samt verktyg kopplade till installation och uppdatering av UKI . I det andra och tredje steget är det planerat att gå bort från att skicka inställningar på kärnans kommandorad och sluta lagra nycklar i initrd.
Källa: opennet.ru