Esto no es un error, es una característica.
Como dice Anthony Wong, cuando instala un paquete DKMS está compilando el paquete usted mismo, por lo tanto, Canonical no puede firmar el módulo por usted.
Sin embargo, definitivamente puede usar el Arranque seguro, sin embargo, este es exactamente el caso de uso donde el Arranque seguro está tratando de protegerlo de usted mismo porque no puede saber si confía en un módulo o no.
De manera predeterminada , hay una clave de plataforma (PK) en su máquina UEFI, que es la autoridad de certificación en última instancia confiable para cargar el código en su procesador.
GRUB, o shim, u otros mecanismos de arranque pueden ser firmados digitalmente por un KEK en el que la CA raíz (PK) confía, y así su computadora puede, sin ninguna configuración, software de arranque como Ubuntu Live USB / DVD.
En Ubuntu 16.04, el núcleo está construido con CONFIG_MODULE_SIG_FORCE = 1, lo que significa que el núcleo hará que los módulos se firmen con una clave confiable en la plataforma. Tenga en cuenta que la plataforma UEFI por defecto contiene una PK sobre la que no tiene ningún control, y por lo tanto no puede firmar binarios con una clave reconocida por su propia máquina.
Algunas personas critican y despotrican contra eso, pero en realidad no hay mejor manera (desde el punto de vista de la seguridad) que ser usted mismo quien inscribe la nueva clave que desea.
Si su sistema de arranque usa shim, puede usar algo llamado base de datos de clave de propietario de máquina e inscribir su clave como MOK (puede hacerlo con mokutil). Si no lo hace, también puede inscribir su clave en la base de datos UEFI como clave de firma.
Después de inscribir su clave, puede firmar su paquete construido con DKMS con su MOK (debe haber un script perl en /usr/src/kernels/$(uname -r)/scripts/sign-file
), y después de que esté firmado, puede cargarlo en el núcleo .
De acuerdo, alguien debería hacer más instrucciones visuales sobre esto, y probablemente incluso hacer un asistente o un mejor estándar DKMS para permitir que las claves sean tomadas en consideración, pero esto es lo que tenemos a partir de ahora.
Puede consultar esta explicación sobre cómo firmar sus propios módulos de kernel: https://askubuntu.com/a/768310/12049