Insmod faz com que a chave seja rejeitada pelo serviço

Agora (depois de uma discussão nos comentários) que você tem um npreal2.komódulo de kernel funcional, mas não assinado, podemos tentar abordar o Secure Boot.

Primeiro, você precisa criar um par de chaves X.509 (uma chave pública e uma chave secreta correspondente) para usar como um MOK. Para fazer isso, primeiro crie um arquivo de configuração OpenSSL mínimo, como por exemplo ~/x509.genkey:

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
x509_extensions = myexts

[ req_distinguished_name ]
O = ModuleType
CN = ModuleType module signing key

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid

A CN =linha define o nome com o qual seu MOK é identificável principalmente, então digite o que quiser lá. A O =linha seria o local para o nome da sua organização, mas você pode omitir a linha inteira se desejar.

Agora você pode gerar seu par de chaves:

openssl req -x509 -new -nodes -utf8 -sha256 -days 36500 \
    -batch -config x509.genkey -outform DER \
    -out signing_key.x509 \
    -keyout signing_key.priv

Este comando cria um par de chaves nominalmente válido por 10 anos a partir do momento da criação; se você quiser mudar isso, mude o -daysparâmetro.

Agora você deve ter dois arquivos:

• signing_key.x509é a chave pública, que você registrará como seu MOK (Chave do Proprietário da Máquina)
• signing_key.privé a chave privada correspondente, que você precisará para assinar quaisquer módulos do kernel que você mesmo construir. Esta chave privada não é protegida por senha, portanto, mantenha-a segura.

Para se inscrever signing_key.x509como MOK, certifique-se de que o mokutilpacote foi instalado e execute:

sudo mokutil --import signing_key.x509

Este comando solicitará que você defina uma senha única para o processo de registro de chave. Depois de fazer isso, a primeira fase do registro do MOK é concluída. Para concluir o registro do MOK, você precisará reiniciar.

Quando você reiniciar, o shimx64.efidetectará que você iniciou um processo de inscrição no MOK e exibirá uma tela azul com um menu simples baseado em texto, com opções para Enroll MOKou Continue boot.

Selecione Enroll MOKpara iniciar a segunda fase do registro do MOK. Em seguida, você terá a chance de visualizar o hash e a CN =linha da chave que está prestes a registrar, depois uma confirmação de sim/não e, finalmente, a senha única definida na primeira fase de inscrição acima. Se a inscrição for bem-sucedida, essa senha nunca mais será necessária. Selecione "Reiniciar" no menu de tela azul para voltar ao Linux.

(A segunda fase do processo de inscrição ocorre durante a reinicialização para garantir que apenas alguém com acesso físico equivalente ao sistema consiga concluir o processo, e a senha garante que a chave que você está registrando seja a que você selecionou no primeira fase, e não uma inserida por algum malware.)

Para verificar se o registro da chave foi bem-sucedido, você pode executar sudo keyctl list %:.platformcomo root: ele deve exibir todas as chaves de inicialização segura que o sistema reconhece, incluindo seu MOK, a chave de distribuição incorporada no shimx64.efi, e as chaves do fabricante e da Microsoft do firmware.

Como alternativa, você pode executar sudo mokutil -luma lista mais detalhada da chave da distribuição e seu MOK.

Agora você está pronto para assinar seu módulo do kernel:

/usr/src/kernels/$(uname -r)/scripts/sign-file sha256 \
    ~/signing_key.priv \
    ~/signing_key.x509 \
    /some/where/npreal2.ko   # adjust the paths as needed

Para confirmar a assinatura, execute sudo modinfo ./npreal2.ko: deve incluir uma signer:linha com o CN =nome do seu MOK e um signature:bloco longo com números hexadecimais.

E claro, agora você deve ser capaz de carregar o módulo com sudo insmod npreal2.koo Secure Boot ativado!

Fonte: https://www.redhat.com/sysadmin/secure-boot-systemtap