Grundproblem NVIDIA
Secure Boot prüft beim Start, ob Kernel und Kernelmodule mit einem vertrauenswürdigen Schlüssel signiert sind. Der proprietäre NVIDIA-Treiber wird als Kernelmodul (nvidia.ko) geladen, das nicht mit einem von Microsofts Schlüsseln signiert ist.
Debian signiert nur eigene Kernelmodule, nicht die von NVIDIA.
Ergebnis: Mit aktiviertem Secure Boot lädt der NVIDIA-Treiber nicht – es sei denn, du signierst ihn selbst oder schaltest Secure Boot aus.
Die von der Funktionalität her einfachste Variante ist es, Secure Boot im BIOS eures Systems abzuschalten.
AMD und INTEL GPUs unproblematisch
Beide verwenden Kernel-integrierte Open-Source-Treiber (amdgpu oder radeon bei AMD, i915/xe bei Intel). Diese Treiber sind fester Bestandteil des Linux-Kernels und werden bereits von Debian signiert.
Secure Boot akzeptiert sie sofort, da der Kernel selbst mit einem von Debian bereitgestellten Schlüssel signiert ist.
Ergebnis: Secure Boot kann eingeschaltet bleiben, sofern AMD (ROCm) oder Intel-Treiber nicht manuell installiert werden, was in 99,9 % der Fälle nicht nötig ist.
Selbst kompilierte Kernelversionen
Wenn ihr das von mir kompilierte Kernel einsetzt, das ihr über das „Kernelwartungsmenü“ nachinstallieren könnt, müsst ihr Secure Boot ausschalten.
Kernel aus dem Trixie-Backports
Wenn ihr neuere Kernelversionen aus den Trixie-Backports installiert, achtet darauf, immer das Paket zu installieren, dessen Name „signed“ enthält. Nur dann kann Secure Boot eingeschaltet bleiben.