A questão se resolveu:
Se o GRUB tentar encadear um arquivo que não seja aceito pela Inicialização Segura (se a Inicialização Segura estiver ativada), ele receberá um erro de Acesso Negado.
Posso, no GRUB, configurá-lo para verificar se o arquivo EFI vai ser carregado em cadeia (usando o banco de dados de inicialização segura) e se recusar a inicializar se não estiver assinado?
Eu tive que desabilitar a inicialização segura para o GRUB para permitir que eu faça uma dupla inicialização entre o Android e o Windows. Eu não quero perder essa segurança para o meu sistema Windows.
Eu sei que o GRUB pode verificar a assinatura dos kernels do Linux, mas e os bootloaders EFI? É possível? Como?
Tags grub2 uefi secure-boot