El otro día, un compañero me hacía esta pregunta. En la práctica, no tiene ningún sentido instalar un kernel signed (firmado para Secure Boot) en un sistema que NO usa UEFI, y te explico por qué:
1. ¿Qué es un kernel signed?
En Debian/Ubuntu y derivados (incluido Proxmox), los signed kernels son kernels idénticos a los normales, salvo por:
- Están firmados criptográficamente para que el firmware UEFI con Secure Boot pueda verificarlos.
- Se distribuyen junto con un shim y un bootloader firmados.
👉 Su única finalidad es arrancar en modo UEFI con Secure Boot activado.
2. Si el sistema arranca en BIOS/Legacy (no UEFI):
En modo legacy:
- No existe Secure Boot.
- El firmware NO verifica firmas.
- NO se necesita shim ni grub-efi.
- El kernel firmado se trata exactamente igual que uno normal.
Es decir que si tenemos un sistema sin UEFI, instalar un kernel signed:
- No aporta ninguna ventaja.
- No mejora seguridad.
- No cambia nada en el arranque.
- Puede añadir dependencias que no necesitas.
3. ¿Puede dar problemas?
En algunos sistemas sí. ¿Por qué?
- Se instalan paquetes adicionales como shim-signed, grub-efi-amd64-signed, etc.
- El sistema puede intentar generar configuración para UEFI aunque no exista ESP.
- Puede provocar mensajes molestos en update-grub del tipo: EFI variables are not supported on this system
- En Proxmox puede mezclar kernels signed con kernels normales, complicando el mantenimiento.
4. Conclusión
No tiene sentido instalar un kernel signed en un sistema no UEFI.
Lo recomendable es:
- Modo BIOS → usar kernel normal
- Modo UEFI con Secure Boot → usar kernel signed
