Por que o Ubuntu parou de publicar imagens assinadas do kernel do linux desde a 4.16.4?

Eu não acho que as imagens do kernel da linha principal já tenham sido assinadas anteriormente. Os últimos lançamentos apenas mudaram os nomes dos pacotes.

Para verificar, verifiquei as imagens em relação ao certificado da Canonical: link

❯ sudo sbverify --cert canonical-uefi-ca.crt /boot/vmlinuz-4.16.1-041601-generic
warning: file-aligned section .text extends beyond end of file
warning: checksum areas are greater than image size. Invalid section table?
No signature table present
Unable to read signature data from /boot/vmlinuz-4.16.1-041601-generic
Signature verification failed

❯ sudo sbverify --cert canonical-uefi-ca.crt /boot/vmlinuz-4.15.0-23-generic
Signature verification OK

Sim! todos os kernels de manutenção recentes do Ubuntu após K4.16.3 > são todos sem assinatura, a frustração que tenho é que não há nenhuma explicação dada para isso!

Heads Up OBSERVAÇÃO: NÃO tente instalar esses "unsigned linux-images atuais", não é recomendado fazer isso na lixeira do meu sistema, meu sistema borked ao tentar instalar o kernel.

O IMO aguarda até a próxima versão principal do kernel, que é K4.17, quando eu estiver esperando que as imagens linux contenham as assinaturas necessárias.

** Também não há notas ou explicações para usuários que não têm, ou usam sistemas baseados em inicialização segura da UEFI, como o Bios antigo. Eu ainda não tenho ideia do porque esses kernels não funcionam ou não são instalados. Eu li que essas assinaturas são projetadas para impedir invasões de malware. Só seria útil ter alguma documentação.