В /boot есть два файла ядра vmlinuz:
vmlinuz-4.8.0-37-generic
vmlinuz-4.8.0-37-generic.efi.signed
В чем разница между этими двумя файлами ядра? Кто подписывает второй (если он действительно подписан, как следует из названия), и как мой UEFI / BIOS знал бы доверять и использовать *-generic.efi.signed вместо *-generic?
Подписанная версия предназначена для безопасной загрузки UEFI. Он был подписан с использованием асимметричного шифрования. Это означает, что ключ для его дешифрования отличается от того, который используется для шифрования. Биос имеет только открытый ключ и может проверить правильность подписи (не был изменен). Частный ключ для создания такой подписи является секретным, и поэтому вы не можете его создать самостоятельно. Вот почему биос доверяет ему и позволяет начать.
Для получения дополнительной информации: https://wiki.ubuntu.com/SecurityTeam/SecureBoot