Secure-Boot

Grundproblem NVIDIA

Secure Boot prüft beim Start, ob Kernel und Kernelmodule mit einem vertrauenswürdigen Schlüssel signiert sind. Der proprietäre NVIDIA-Treiber wird als Kernelmodul (nvidia.ko) geladen, das nicht mit einem von Microsofts Schlüssel signierten Zertifikat kommt.

Debian signiert nur eigene Kernelmodule, nicht die von NVIDIA.

Ergebnis: Mit aktivem Secure Boot lädt der NVIDIA-Treiber nicht – es sei denn, du signierst ihn selbst oder schaltest Secure Boot aus.

Die von der Funktionalität her beste Variante ist es, Secure Boot im Bios eures Systems abzuschalten.

AMD und INTEL GPUs unproblematisch

Beide nutzen Kernel-integrierte Open-Source-Treiber (amdgpu, radeon bei AMD und i915/xe bei Intel). Diese Treiber sind fester Bestandteil des Linux-Kernels und werden schon von Debian signiert.

Secure Boot akzeptiert sie sofort, da der Kernel selbst mit einem von Debian bereitgestellten Schlüssel signiert ist.

Ergebnis: Secureboot kann eingeschaltet bleiben, sofern AMD (ROCm) oder Inteltreiber nicht manuell installiert werden, was in 99,9% der Fälle nicht nötig ist.

Selbst kompilierte Kernelversionen

Setzt ihr das von mir kompilierte Kernel ein, das man via dem "Kernelwartungsmenü" nachinstallieren kann, dann müsst ihr Secure Boot ausschalten.

Kernel aus dem Trixie-Backports

Sofern ihr neuere Kernelversionen aus den Trixie-Backports installiert, müsst ihr darauf achten, dass ihr immer das Kernel installiert, das im Paketnamen mit "signed" aufgeführt wird. In dem Fall kann nämlich Secure Boot eingeschaltet bleiben.