Eu tenho o sistema EFI com minhas próprias chaves e chaves canônicas em db. Hoje percebo que o sistema EFI ou o grub permite executar o kernel não assinado. Isso é bom? Eu tenho um vmlinuz-4.8.0-27-lowlatency.efi.signed que é assinado pela Canonical e vmlinuz-4.8.0-28-lowlatency que não está assinado. Ambos estão funcionando. Mas como? A Inicialização Segura deve ser um kernel sem carga de interrupção?