Поддержка подписи ядер и модулей внешним ключом позволит включить в ядрах CONFIG_MODULE_SIG_FORCE=y. Была идея сделать по аналогии с pesign (через rpmrebuild) и т.д.