Aqui encontrei a solução.
Se o seu par de chaves for criado, então:
(A instrução é para RedHat, mas funcionou bem no Lubuntu e provavelmente funcionará para o Ubuntu também)
O recurso MOK (Machine Owner Key) é um recurso suportado pelo Red Hat Enterprise Linux 7 e pode ser usado para aumentar o banco de dados de chaves de inicialização segura da UEFI. Quando o Red Hat Enterprise Linux 7 inicializa em um sistema com UEFI com Secure Boot ativado, as chaves na lista MOK também são adicionadas ao conjunto de chaves do sistema, além das chaves do banco de dados de chaves. As chaves da lista MOK também são armazenadas de forma persistente e segura da mesma forma que as chaves do banco de dados de chaves de Inicialização Segura, mas estas são duas instalações separadas. O recurso MOK é suportado por shim.efi, MokManager.efi, grubx64.efi e pelo utilitário mokutil do Red Hat Enterprise Linux 7.
A principal capacidade oferecida pelo recurso MOK é a capacidade de adicionar chaves públicas à lista MOK sem precisar ter o chaveiro de volta para outra chave que já esteja no banco de dados KEK. No entanto, a inscrição de uma chave MOK requer interação manual por um usuário fisicamente presente no console do sistema UEFI em cada sistema de destino. No entanto, o recurso MOK fornece um método excelente para testar pares de chaves recém-gerados e testar módulos do kernel assinados com eles.
Siga estas etapas para adicionar sua chave pública à lista MOK:
-
Solicite a adição de sua chave pública à lista MOK usando um utilitário userspace do Red Hat Enterprise Linux 7:
~]# mokutil --import my_signing_key_pub.der
Ser-lhe-á pedido para introduzir e confirmar uma senha para este pedido de inscrição no MOK.
-
Reinicie a máquina.
-
A requisição de inscrição de chave MOK pendente será notada por shim.efi e ela iniciará o MokManager.efi para permitir que você complete a inscrição no console UEFI. Você precisará inserir a senha anteriormente associada a essa solicitação e confirmar a inscrição. Sua chave pública é adicionada à lista MOK, que é persistente.
Quando uma chave estiver na lista MOK, ela será automaticamente propagada para o anel de chaves do sistema nesta inicialização e subsequentes quando o UEFI Secure Boot estiver ativado.