Ce n’est pas un bogue, c’est une fonctionnalité.
Comme le dit Anthony Wong, lorsque vous installez un paquet DKMS, vous compilez vous-même le paquet. Canonical ne peut donc pas signer le module pour vous.
Cependant, vous pouvez certainement utiliser Secure Boot, mais c'est exactement le cas d'utilisation où Secure Boot tente de vous protéger de vous-même, car il ne sait pas si vous faites confiance à un module ou pas.
Par défaut , votre machine UEFI possède une clé de plate-forme (PK), qui est l'autorité de certification ultime de confiance pour le chargement du code dans votre processeur.
GRUB, ou shim, ou d’autres mécanismes de démarrage peuvent être signés numériquement par une clé KEK approuvée par l’autorité de certification racine (PK) et, par conséquent, votre ordinateur peut sans configuration démarrer Ubuntu Live USB / DVD.
Sous Ubuntu 16.04, le noyau est construit avec CONFIG_MODULE_SIG_FORCE = 1, ce qui signifie que le noyau imposera les modules à signer par une clé sécurisée dans la plate-forme.
Tenez compte du fait que la plate-forme UEFI par défaut contient une PK sur laquelle vous n'avez aucun contrôle et que vous ne pouvez donc pas signer de binaires avec une clé reconnue par votre propre machine.
Certaines personnes protestent contre cela, mais il n’ya pas vraiment de meilleure solution (du point de vue de la sécurité) que d’enregistrer vous-même la nouvelle clé que vous souhaitez.
Si votre système d’amorçage utilise shim, vous pouvez utiliser une base de données de propriétaire de machine, et inscrire votre clé en tant que MOK (vous pouvez le faire avec mokutil). Si vous ne le faites pas, vous pouvez également inscrire votre clé dans la base de données UEFI en tant que clé de signature.
Après avoir inscrit votre clé, vous pouvez signer votre package DKMS avec votre MOK (il doit y avoir un script perl à /usr/src/kernels/$(uname -r)/scripts/sign-file
) et après sa signature, vous peut le charger dans le noyau .
Certes, quelqu'un devrait faire plus d'instructions visuelles à ce sujet, et probablement même faire un assistant ou un meilleur standard DKMS pour permettre la prise en compte des clés, mais c'est ce que nous avons maintenant.