サードパーティモジュールをインストールするときに「セキュアブート」を無効にすることがポリシーに適用される理由

これはバグではなく、機能です。

Anthony Wongが言うように、DKMSパッケージをインストールすると、パッケージを自分でコンパイルするため、Canonicalはモジュールに署名できません。

ただし、セキュアブートは間違いなく使用できますが、これは、モジュールを信頼するかどうかを判断できないため、セキュアブートが自分から保護しようとするユースケースです。

デフォルトでは、UEFIマシン上にプラットフォームキー（PK）があります。これは、プロセッサにコードをロードするための最終的に信頼できる認証局です。

GRUB、またはシム、またはその他のブートメカニズムは、ルートCA（PK）によって信頼されているKEKによってデジタル署名できるため、コンピューターは、設定なしで、Ubuntu Live USB/DVDなどのソフトウェアを起動します。

Ubuntu 16.04では、カーネルはCONFIG_MODULE_SIG_FORCE = 1で構築されます。つまり、カーネルは、プラットフォーム内のモジュールが信頼できるキーによって署名されることを強制します。 UEFIプラットフォームには、デフォルトでは制御できないPKが含まれているため、ご使用のマシンで認識されるキーでバイナリに署名することはできません。

一部の人々はそれに対して不平を言ったりbutったりしますが、あなたが望む新しいキーを登録するのは自分自身である以上に、（セキュリティの観点から）本当に良い方法はありません。

ブートシステムがshimを使用している場合は、マシン所有者のキーデータベースと呼ばれるものを使用でき、MOKとしてキーを登録できます（mokutilでこれを実行できます） ）。そうでない場合は、キーEFIデータベース内を署名キーとして登録することもできます。

キーを登録したら、MOKでDKMSビルドのパッケージに署名できます（/usr/src/kernels/$(uname -r)/scripts/sign-fileにPerlスクリプトがあるはずです）、および署名後、カーネルにロードできます。

確かに、誰かがこれについてより視覚的な指示を行う必要があり、おそらくウィザードやキーを考慮に入れるためのより良いDKMS標準を作成する必要がありますが、これは現在のものです。

独自のカーネルモジュールに署名する方法については、この説明を参照できます。 https://askubuntu.com/a/768310/12049