A última vez que ouvi, o Debian não suportou o Secure Boot. Se isso mudou com o Debian 8, isso deve simplificar bastante as coisas. Se o Debian não suportar o Secure Boot, eu sugiro que você dê um passo atrás de sua pergunta sobre o Shim e faça a pergunta sobre o Secure Boot em geral. Com esse passo atrás, há três soluções, falando de forma ampla:
- Você pode usar o Pré-carregador da Linux Foundation como sua solução de inicialização segura. Essa ferramenta é conceitualmente semelhante a Shim, mas registra hashes de binários que você aprova, o que facilita a configuração do Shim, o que requer a assinatura criptográfica do seu gerenciador de inicialização e talvez de todos os seus kernels.
- Você pode usar o Shim como sua solução de inicialização segura. O Shim é projetado para autenticar binários baseados em assinaturas criptográficas, então você tem que assinar sua cópia do GRUB (ou qualquer outro gerenciador de inicialização que você use), e possivelmente também seu (s) kernel (s) Linux. Este processo é um pouco tedioso e impossível de descrever sucintamente.
- Você pode instalar suas próprias chaves de Inicialização Segura e usá-las para assinar o GRUB (ou qualquer outro carregador de inicialização usado) e possivelmente seus kernels. O processo de assinatura é o mesmo que seria ao usar o Shim, mas você pode remover completamente o Shim do processo. O problema é que a configuração das chaves é mais difícil do que instalar o Shim; mas você também pode remover chaves indesejadas (como as da Microsoft, se você não executar o Windows).
Obviamente, esta resposta não está completa. Depois de decidir qual abordagem usar, você precisará de mais informações. Consulte minha página principal de Inicialização Segura para obter instruções sobre como usar o PreLoader e o Shim, e meu Página de inicialização segura para obter informações sobre como instalar e usar suas próprias chaves.
Mais um comentário: se esta for uma instalação de inicialização única, o uso da Inicialização Segura fornecerá benefícios mínimos, especialmente se você usar uma versão do GRUB que não respeita a Inicialização Segura. Os principais benefícios do Secure Boot estão em um sistema que pode ter seu carregador de boot substituído por malware. Historicamente, o Windows tem sido o alvo de tal malware, tanto como a plataforma que está comprometida quanto como o sistema operacional usado para instalar o malware. Isso não quer dizer que o Linux nunca possa ser direcionado, é claro; mas se for, e se você usar um gerenciador de partida não requer que o kernel seja assinado, você está ganhando muito pouco em segurança ativando o Secure Boot, já que o invasor precisaria apenas substituir seu kernel de estoque para assumir o controle do seu sistema.