Eu configurei um kernel auto-assinado para refind e linux. O problema é que o intel-ucode e o initramfs residem no / boot, que é um código não criptografado do fat32 ESP filesytem - UEFI.
Como posso proteger meu initramfs e intel-ucode?
Uma opção é fazer o kernel checá-los contra a chave ou carregá-los a partir do sistema de arquivos raiz (ext4) criptografado pelo luks, o qual eu não sei se é possível.
A outra opção é fazer com que o kernel verifique a assinatura deles - o que também não sabe se é possível.