A inicialização segura QEMU-KVM UEFI não funciona

A documentação do OVMF diz que você deve usar o -pflashparâmetro se quiser o Secure Boot:

• Use OVMF para firmware QEMU (3 opções disponíveis)
  • Opção 1: QEMU 1.6 ou mais recente; Use o parâmetro QEMU -pflash
    • QEMU/OVMF usará flash emulado e suportará totalmente variáveis ​​UEFI
    • Execute o qemu com: -pflash path/to/OVMF.fd
    • Observe que essa opção é necessária para executar compilações habilitadas para SecureBoot (-D SECURE_BOOT_ENABLE).

A página Debian Wiki sugere que você também deseja alguns arquivos de variáveis ​​EFI. A invocação completa pode ser mais ou menos assim:

qemu-system-x86_64 \
 -accel kvm \
 -smp 2 \
 -m 2048 \
 -machine pc-q35-2.5 \
 -drive if=pflash,format=raw,readonly=on,file=./OVMF_CODE_4M.secboot.fd \
 -drive if=pflash,format=raw,file=./OVMF_VARS_4M.ms.fd \
 -drive file=./ubuntu-21.10-desktop-amd64.iso,readonly=on,format=raw,index=0,media=cdrom \
 -boot menu=on

Observe que, como as variáveis ​​EFI podem (e irão) mudar, você precisará de sua própria cópia do arquivo. O firmware não muda, então você não precisa copiá-lo localmente. Dependendo da sua distribuição Linux, você pode ter um arquivo de código OVMF separado que tenha o Secure Boot ativado.