问如何合并多个莫克键或删除不必要的？

EN

自从我开始在仿生上使用安全引导后，我只有一个MOK.priv文件。

上周的内核更新(和往常一样)要求我创建一个MOK密码，并在启动时在MOK注册屏幕中重新输入这个密码。但是我第一次错过了注册屏幕。

从那时起，我就能够注册MOK密钥并签署所需的内核模块，重新启用安全引导。然后我在我的机器上找到了一个“孤儿”莫克钥匙。也许是因为我错过了入学考试，我才有了多一把莫克钥匙？也许不是，因为它的日期是去年8月。

-rw------- 1 root root 1.1K Jun 13  2018 /root/keyfiles/MOK.der
-rw------- 1 root root 1.4K Jun 13  2018 /root/keyfiles/MOK.priv.gpg
-rw-r--r-- 1 root root  910 Aug 13  2018 /var/lib/shim-signed/mok/MOK.der
-rw------- 1 root root 1.7K Aug 13  2018 /var/lib/shim-signed/mok/MOK.priv

我知道的莫克文件是第一对。第二对对我来说是个新闻。

莫文件不应留在机器上。我可能只是加密第二个密钥，但是

( a)我不习惯接触/var/lib/shim-签名/和

( b)我想在机器上保存一个MOK文件(并在BIOS中注册)

更糟糕的是，今天我不得不安装到Acronis备份代理(它依赖于snapapi26，内核模块)的升级，现在有更多的MOK文件(虽然扩展名不同，但在我看来MOK.secdata是一个关键)。

-rw-r--r-- 1 root root  854 Apr  7 18:34 /var/lib/sb/MOK.2
-rw-r--r-- 1 root root 1.8K Apr  7 18:49 /var/lib/sb/MOK.secdata
-rw-r--r-- 1 root root    0 Apr  7 18:34 /var/lib/sb/MOK.seclock
-rw-r--r-- 1 root root  228 Apr  7 18:34 /var/lib/sb/MOK.secmeta

我想在我的机器上有一个(加密的) MOK.priv和MOK.der。我如何将这些MOK键“合并”成一个单独的键(仅从大小上就可以看出它们并不相同)？如果这是不可能的，我是否需要一个以上的莫克钥匙？如果没有，我应该留哪一个？

边注，而不需要回答我的主要问题:我希望得到一个解释(或链接到一个)，是什么导致创建一个新的莫克键时，你已经有一个工作的。

更新:重新启动显示由Acronis创建的键的MOK注册屏幕。但是在Acronis安装程序中没有提示设置密码，所以我无法注册它。Acronis所需的内核模块已经安装并签名，因此删除Acronis键是安全的。我可以删除/var/lib/sb/MOK.*吗？