Dans un premier temps ça servira dans des contextes de virtualisation car c’est là que c’est le plus facile à mettre en oeuvre, car le “matériel” est +/- standard et simple par rapport à un système tournant sur un matériel réel.
L’objectif est de s’assurer que la chaine de démarrage est signée et idéalement unique. C’est-à-dire supprimer le risque que quelqu’un change ton initrd pour éventuellement faire n’importe quoi. Ou change la ligne de commande du noyau pour au hasard désactiver SELinux. C’est dans la continuité de Secure boot pour ceux qui veulent.
Aujourd’hui l’initrd est généré sur la machine de l’utilisateur, c’est un mécanisme complexe qui du coup peut avoir des bogues. Cela signifie que pour la même Fedora 38, selon l’ordinateur qui l’exécute, cette partie du logiciel peut être radicalement différent ce qui pose des problèmes de tests. L’objectif est de réduire ce risque et cette maintenance également.
Après on ignore où cela aboutira, pour que l’UKI soit l’image par défaut dans Fedora il y aura un long chemin à parcourir. Mais pour les utilisateurs qui souhaitent augmenter la sécurité du système pour diverses raisons, dont dans un environnement virtualisé, cela sera probablement possible prochainement.