На конференции Ocean Sprint автор решил совместными усилиями с участниками nikstur и raitobezarius решить главную проблему NixOS — отсутствие поддержки Secure Boot. Без этой функции злоумышленники могли бы легко подменить код чтения пароля шифрования диска. Традиционный запуск NixOS через systemd-boot требует загрузки всех поколений системы в единый образ UKI, что быстро заполняет раздел ESP. Для обхода этого ограничения команда разработала утилиту lanzaboote на языке Rust. Это небольшая UEFI-загрузка, которая не вмещает ядро и initrd внутри себя, а хранит лишь пути к файлам, делегируя верификацию подписей UEFI. Разработчики интегрировали этот механизм в Nixpkgs, создав модули для установки при командой nixos-rebuild switch и утилиту lanzatool для сборки подписанных образов и записи их на ESP. Несмотря на элегантность архитектуры, которая избавляет загрузчик от дублирования криптографии, полноценную цепочку доверия от стандартных ключей Microsoft пока реализовать не удалось. Пользователям нужно вручную генерировать свои пары ключей и прописывать их в прошивке, что вызывает неудобства. Сейчас проект находится в ранней стадии, поэтому перед финальным объединением с основной веткой предстоит проделать еще много работы. Детали реализации и статус разработки можно найти в README проекта lanzaboote.
nikstur и raitobezarius создали uтилиту lanzaboote
09.05.2026 18:55 · hackernews