UEFI проблемы с безопасной загрузкой с hello efi

Вам нужно сгенерировать эти ключи с помощью openssl. Посмотрите на ссылку ниже: https://wiki.archlinux.org/index.php/Secure_Boot

Помимо генерации ключей для безопасной загрузки, необходимо позаботиться о подписании ключей. процедура генерации ключей, подписи и сохранения их в хранилище ключей подробно описана здесь https://www.rodsbooks.com/efi-bootloaders/secureboot.html

Ключи безопасности можно разделить на две категории: частные и открытые, а безопасная загрузка следует цепочке корня доверия для добавления ключа PK=>KEK=>DB. Любые изменения в БД должны быть подписаны с использованием закрытого ключа KEK, изменения в KEK должны быть подписаны закрытым ключом PK, а изменения в PK требуют, чтобы ключ был подписан закрытым ключом предыдущего PK publik.

• Создайте пару PK и подпишите открытый ключ PK закрытым ключом. PK - это самоподписанный ключ.
• Сгенерируйте пару KEK и подпишите открытый ключ KEK, используя закрытый ключ PK.
• Сгенерируйте пару ключей БД и подпишите открытый ключ БД, используя закрытый ключ KEK
• Сгенерируйте пару ключей DBX и подпишите пару ключей DBX, используя закрытый ключ KEK

Примечание: для замены предыдущего ПК из BIOS вам потребуется пустой ключ, подписанный владельцем платформы. Большинство BIOS позволяют изменять ключи без проверки, но в идеале это не должно быть разрешено. Основная цель безопасной загрузки состоит в том, чтобы все можно было отследить до корня доверия и проверить.

Помимо создания совершенно нового набора ключей, вы также можете использовать MOK ключа владельца машины для регистрации нового ключа с безопасной загрузкой.

• Создайте пару ключей
• подпишите свою утилиту закрытым ключом (используя sbsign)
• добавить публичный ключ в утилиту MOK (используя mokutility)
• также описано в ссылке, упомянутой выше