[Résolu] Clef MOK pour driver Nvidia et Secure Boot

[Xawarg]

Bonjour à tous,

Je vous contacte pour être sûr de la bonne marche à suivre pour l'utilisation de DKMS pour les driver Nvidia avec Secure Boot activé pour Debian 13.

Voici la marche à suivre vu wiki anglais:

Code : Tout sélectionner

# dkms generate_mok
# mokutil --import /var/lib/dkms/mok.pub # prompts for one-time password
# mokutil --list-new # recheck your key will be prompted on next boot

<rebooting machine then enters MOK manager EFI utility: enroll MOK, continue, confirm, enter password, reboot>

# dmesg | grep cert # verify your key is loaded

Puis pour ajouter les clefs à DKMS, il faudrait utiliser les commandes suivantes:

Code : Tout sélectionner

mok_signing_key="/var/lib/shim-signed/mok/MOK.priv"
mok_certificate="/var/lib/shim-signed/mok/MOK.der"

Tandis que le wiki français donne les commandes suivantes:

Code : Tout sélectionner

# mokutil --import MOK.der # invite pour un mot de passe unique
# mokutil --list-new # revérifie que votre clé sera affichée lors du prochain démarrage

<redémarrage de la machine puis entrée dans l'utilitaire de gestion de MOK : enregistrement de la clé MOK, continuer, confirmer, entrer le mot de passe, redémarrer>

# dmesg | grep cert # pour vérifier que votre clé soit chargée

Quelle serait la meilleure marche à suivre entre les 2?

Merci d'avance pour vos conseils à tous

[piratebab]

Je en suis pas expert en clef MOK, mais d’après ce que je comprends, la version anglaise te fais créer ta clef MOK, alors que la version française considère que tu en as déja une.

[Xawarg]

Merci pour ton avis piratebab.

Après, je sais que les drivers Nvidia ne sont pas signés, ce qui fait qu'on se retrouve avec un écran noir lors de la connexion à cause de Secure Boot.
Je sais qu'une possibilité est de le désactiver, mais alors Windaube 11 fait un caca nerveux...

Après, le wiki français demande de chercher avant la présence de la clef MOK, ce que ne fait pas la version anglaise... ce qui fait que c'est un peu confus entre les deux

[piratebab]

Je n'utilise pas secureboot, donc je ne pratique pas les clef MOK.
La clef MOK permet d'avoir une clef perso pour valider l'installation d'un module kernel non géré par debian. Tu devras donner le mot de passe donnant accés à ta clef perso lors du driver non-debian.
en gros:
- module debian: l’installeur utilise la clef su systeme, c'est transparent pour toi
- module non debian: tu devras débloquer l’accès à ta clef MOK pour autoriser l'install

[Xawarg]

Merci pour les éclaircissements piratebab

Je vais suivre le wiki anglais pour les clefs MOK et la signature automatique des nouveaux paquets/driver par DKMS.
Je regarderai à ça ce week-end ou le week-end prochain.

Au pire, si ça ne fonctionne pas, je réinstallerai Debian et je désactiverai de façon permanente Secure Boot

[frank]

salut Xawarg

Pour l'écran noir :
avez-vous un processeur AMD avec un GPU intégré ?
si oui ; au démarrage de grub, prend la deuxième option et mot de passe root

Code : Tout sélectionner

# nano /etc/modprobe.d/blacklist.conf

Code : Tout sélectionner

blacklist amdgpu

Ctrl+O, Entrée et Ctrl+X

Code : Tout sélectionner

# reboot

Pour la clé public :
Public certificate (MOK) : /var/lib/dkms/mok.pub

Code : Tout sélectionner

# apt install mokutil

Code : Tout sélectionner

# mokutil -i /var/lib/dkms/mok.pub

mot de passe → (entrez n'importe quel mot de passe)
répété votre mot de passe → (vous n'aurez ce mot de passe qu'une seule fois au redémarrage)

Code : Tout sélectionner

# reboot

→ Enroll MOK
→ Continue
→ Yes
→ Password
→ Reboot

Accédez à votre BIOS pour vous assurer que le démarrage sécurisé est activé
Security > Secure Boot
Secure Boot [Enabled]
Save configuration changes and exit now? [Yes]

pour plus d'information :
https://www.youtube.com/watch?v=FaDENzwkzys

[Xawarg]

@frank
Merci pour la procédure claire à faire pour générer la clé.

Concernant votre autre question, il s’agit d’un portable Dell avec un CPU Intel et un GPU Nvidia.

Avec le recul, je me dis que j’aurais dû en acheter un en full AMD