Ativando o SecureBoot

Desejo ativar o Secure Boot no meu laptop asus ux303ln para aumentar a segurança. Isso significa que eu não quero usar o carregador de inicialização "shim" para poder fazer o boot duplo no Windows, e quero ter minha própria chave mestra gerada. Eu estou usando o Ubuntu 15.10, mas eu não acho que seja importante (pelo menos, eu tive o mesmo problema em 15.04).

Tentei seguir as instruções do manual SecurityTeam / SecureBoot , mas não obtive êxito - a BIOS diz que a validação da assinatura falhou.

Mais detalhadamente, as etapas que fiz:

1. Habilitado Inicialização segura no BIOS e exclusão de todas as chaves de fábrica (isso coloca o SecureBoot no modo "Configuração");

2. Seguiu as instruções da parte Bootloader assinado com a chave canônica do manual, isso significa:

   a) Instalou todos os pacotes sugeridos, incluindo versões assinadas do grub e linux-image

   b) grub-install --uefi-secure-boot ;

   c) Teclas transferidas e executar sb-setup enroll canonical ;

   d) Verificado mais uma vez vmlinuz e grubx64.efi assinaturas usando sbverify ;

3. Na BIOS, eu configuro outra opção de boot para inicializar especificamente a partir do arquivo grubx64.efi , mas o erro de assinatura ocorre na inicialização de qualquer maneira.

Então, a pergunta é: por que isso acontece e como resolver isso?

Tenho o prazer de fornecer outros detalhes específicos.