Ubuntu 18.04 + secure boot + własnościowe sterowniki Nvidii

Cześć.

Mam w systemie dodane PPA http://ppa.launchpad.net/graphics-drivers/ppa/ubuntu i stamtąd dociągają i instalują się sterowniki. Niestety jeszcze nie wiem jak pogodzić ze sobą chęć korzystania z “secure boot” wraz z takimi sterownikami. Gdy wyłączę “secure boot”, sterowniki te się ładują, gry śmigają aż miło. Gdy włączę “secure boot” wygląda na to, że system korzysta ze sterowników dostarczonych przez Canonical, gry wleką się niemiłosiernie, a narzędzia takie jak “nvidia-settings” czy “nvidia-smi” nie uruchamiają się. Podejrzewam, że wynika to z niepodpisania tych sterowników kluczem, który jest gdzieś w UEFI (???). Jestem w tym temacie zielony, ale chciałbym po prostu móc korzystać z “secure boot” wraz z najnowszymi sterownikami od Nvidii. Wynika to z faktu, iż mam uruchomione szyfrowanie całego systemu, bez /boot - a jeśli mam wyłączony “secure boot”, to można tam namieszać i szyfrowanie na nic się nie zda, jeśli kernel będzie z “toksycznym” dodatkiem.

Jakieś sugestie, co zrobić by sterowniki te były podpisywane za każdym razem gdy się zaktualizują? Ostatecznie choćby i ręcznie.

Czyżbym znalazł rozwiązanie?

Z góry dzięki.

Praktycznie nie do zrobienia. Musiałbyś wygenerować za pomocą SDK Intela własne klucze do Secure Boot, wgrać je do UEFI, ponownie skompilować i podpisać nimi cały bootloader i kernel oraz potem podpisać nimi drivery NVIDIA. Innej opcji nie ma. Oczywiście wtedy nie odpali Windows. Ten klucz, który jest w UEFI domyślnie, to klucz Microsoftu i tylko MS może nim podpisywać.

Windows nie będzie problemem, nie używam od 11 lat. Zerknąłeś może na to?

Wygląda na to, że robi swoją robotę, ale na wirtusalnej maszynie tego nie sprawdzę, więc trochę się boję.

Powiem szczerze że osobiście bym nie ryzykował, bo potem można stracić więcej czasu na naprawianiu skutków aniżeli to warte zachodu. Po za tym secure boot w zamyśle ma nie dopuszczać do uruchomienia niepodpisanych modułów kernela, w tym także sterowników Nvidia (przecież musi załadować swoje moduły w kernelu by móc poprawnie pracować). Więc grzebanie przy tym nie ma sensu.

Gra nie warta świeczki. Szyfrowanie dysku jest wystarczające bez partycji /boot. Jeśli ktoś będzie potrafił tak sfabrykować kernel, aby ominąć szyfrowanie, to ominie też secureboot, ale takich umiejętności nie ma chyba nawet polska policja, więc na pewno nie ma przeciętny złodziej. No chyba że obawiasz się jakiś amerykańskich służb specjalnych.

@pocolog - Dzięki. Nie obawiam się, mam tylko trochę prywatnych rzeczy plus setki tysięcy danych osobowych.

To w EFI może być tylko jeden klucz to sprawdzania podpisów?

@nintyfan z tego co wiem, to nie.