Et bah, "Secure" Boot ne permet ça que de manière extrèmement compliquée (tu dois rajouter ta propre clé, virer celles d'office si tu ne fais pas confiance aux entreprises qui les contrôlent (et tu ne devrais pas!), resigner tous tes binaires avec ta clé (après avoir vérifié leur authenticité, et là tu dois forcément faire confiance à la signature de quelqu'un d'autre), et garantir qu'un malware ou un intrus humain n'aient pas accès à cette clé (ce dernier point me paraît limite impossible si tu veux être en mesure de signer les mises à jour)) et seulement pour le noyau, pas pour le userspace.