Ce n'est pas un bug, c'est une fonctionnalité.
Comme le dit Anthony Wong, lorsque vous installez un package DKMS, vous le compilez vous-même. Canonical ne peut donc pas signer le module pour vous.
Cependant, vous pouvez certainement utiliser Secure Boot, mais c’est exactement le cas où Secure Boot tente de vous protéger contre vous-même car il ne peut pas savoir si vous faites confiance à un module ou non.
Par défaut , votre ordinateur UEFI comporte une clé de plate-forme (PK), qui est l'autorité de certification ultime pour le chargement de code dans votre processeur.
GRUB, ou shim, ou d’autres mécanismes d’amorçage peuvent être signés numériquement par un KEK approuvé par l’autorité de certification racine (PK). Ainsi, votre ordinateur peut, sans aucune configuration, initialiser un logiciel comme Ubuntu Live USB / DVD.
Sur Ubuntu 16.04, le noyau est construit avec CONFIG_MODULE_SIG_FORCE = 1, ce qui signifie que le noyau imposera aux modules d'être signés par une clé de confiance de la plate-forme. Sachez que la plate-forme UEFI contient par défaut une PC sur laquelle vous n’avez aucun contrôle. Par conséquent, vous ne pouvez pas signer de fichiers binaires avec une clé reconnue par votre propre ordinateur.
Certaines personnes protestent contre cela, mais il n'y a vraiment pas de meilleur moyen (du point de vue de la sécurité) que d'être vous-même qui enregistre la nouvelle clé que vous voulez.
Si votre système de démarrage utilise shim, vous pouvez utiliser quelque chose appelé base de données de clés du propriétaire de la machine et inscrire votre clé en tant que MOK (vous pouvez le faire avec mokutil). Sinon, vous pouvez également inscrire votre clé dans la base de données UEFI en tant que clé de signature.
Une fois que vous avez inscrit votre clé, vous pouvez signer votre paquetage construit avec DKMS avec votre MOK (il devrait y avoir un script perl à /usr/src/kernels/$(uname -r)/scripts/sign-file
), et après l'avoir signé, vous pouvez le charger dans le noyau .
Certes, quelqu'un devrait donner plus d'instructions visuelles à ce sujet, et probablement même créer un assistant ou un meilleur standard DKMS pour permettre la prise en compte des clés, mais c'est ce que nous avons maintenant.
Vous pouvez vous référer à cette explication pour signer vos propres modules de noyau: https://askubuntu.com/a/768310/12049