Debian utilise le système de modules dynamiques du noyau (DKMS) pour permettre la mise à niveau de modules individuels du noyau sans modifier l'ensemble du noyau. Les modules DKMS étant compilés individuellement sur les machines des utilisateurs, il n'est pas possible de les signer avec les clés de signature du projet Debian. Les modules créés avec DKMS sont signés avec une clé propriétaire de la machine (MOK), située par défaut dans /var/lib/dkms/mok.key, et la clé publique correspondante dans /var/lib/dkms/mok.pub. Ces clés sont générées automatiquement lors de la première tentative de compilation d'un module DKMS, mais peuvent être générées manuellement avant cela en exécutant la commande suivante (voir man 8 dkms) :

sudo dkms generate_mok

Que les clés MOK DKMS soient générées automatiquement ou manuellement, la clé publique doit être enregistrée manuellement en exécutant les commandes suivantes :

sudo mokutil --import /var/lib/dkms/mok.pub # demande un mot de passe à usage unique
sudo mokutil --list-new # vérification de votre clé : elle sera demandée au prochain démarrage

<rebooting machine then enters MOK manager EFI utility: enroll MOK, continue, confirm, enter password, reboot>

sudo dmesg | grep cert # vérification du chargement de votre clé

sudo apt-get install virtualbox-dkms --reinstall

https://wiki.debian.org/SecureBoot