У випуску Fedora 38 запропоновано реалізувати першу стадію переходу на модернізований процес завантаження, раніше запропонований Леннартом Поттерінг для організації повноцінного верифікованого завантаження, що охоплює всі етапи від прошивки до простору користувача, а не тільки ядра і завантажувача. Пропозиція поки не розглянута комітетом FESCo (Fedora Engineering Steering Committee), який відповідає за технічну частину розробки дистрибутива Fedora.
Компоненти для реалізації запропонованої ідеї вже інтегровані в systemd 252 і зводяться до використання замість образу initrd, що формується на локальній системі при встановленні пакета з ядром, уніфікованого образу ядра UKI (Unified Kernel Image), що генерується в інфраструкурі дистрибутива та завіреного цифрового. UKI об'єднує в одному файлі обробник для завантаження ядра з UEFI (UEFI boot stub), образ ядра Linux і системне оточення initrd, що завантажується в пам'ять. При викликі образу UKI з UEFI надається можливість перевірки цілісності та достовірності за цифровим підписом не тільки ядра, а й вмісту initrd, перевірка достовірності якого важлива, оскільки в цьому оточенні здійснюється вилучення ключів для розшифрування кореневої ФС.
Через значно майбутні зміни впровадження планується розділити на кілька стадій. На першій стадії підтримка UKI буде додана до завантажувача і почнеться публікація опціонального образу UKI, який буде сфокусований на завантаженні віртуальних машин з обмеженим набором компонентів та драйверів, а також пов'язаного із встановленням та оновленням UKI інструментарію. На другій і третій стадіях планується уникнути передачі налаштувань у командному рядку ядра і припинити зберігання ключів в initrd.
Джерело: opennet.ru