Arch com secure boot

Boa noite
Eu tou querendo começar/voltar a utilizar o windows 11 ao invés do 10 no dual boot com arch
Porém eu tenho algumas dúvidas em relação ao secure boot, no arch eu teria que assinar tudo?
Ou só ativando na BIOS e deixando em padrão já funciona?, como saber se já tenho chave pronta na BIOS para fazer isso sem criar uma nova?
E em relação ao secure boot o fedora seria mais compatível e “plug-play” do que o Arch?

Uma boa citação a propria wiki sobre o assunto e o ArchBoot Unified Extensible Firmware Interface/Secure Boot - ArchWiki (archlinux.org) mas tem como assinar os modulos e fazer funcionar, ja fiz a instalação usando o ventoy(como o mesmo tem assinaturas validas ele sobe o Arch corretamente) mas vc pode seguir alguns passos na wiki pra configurar possivelmente no arch-chroot

Então, eu li a Wiki, mas caso eu optar por assinar o Arch, eu crio minhas próprias chaves ou uso a que já vem na placa mãe, no caso é uma gigabyte, pq na Wiki fala que poser dar problema substituir as chaves do fabricante

Se for dualboot vc precisa gerar as da MS pra não ter conflito, se for só a distribuição vc pode gerar da MS ou criar as suas próprias e adicionar a BIOS na hora que for solicitado ou manualmente

1 curtida

Como eu gero a da Microsoft? Ou o da microsoft é o padrão da placa mãe?
E aplicar a chave na BIOS eu imagino que faça automático no windows mas no arch eu uso os comandos da Wiki ou se o windows já emplantar já fica pronto?
E é só assinar o arch

Pelo que está descrito na wiki, no processo assistido:

Enroll your keys, with Microsoft’s keys, to the UEFI:
# sbctl enroll-keys -m

Sua chave entra junto com a da MS. Então o windows continua tendo uma assinatura válida, da MS, e o Arch também, com a sua.

1 curtida

Então eu não consigo usar a chave da microsoft no arch somente sincronizar, seria isso?

Warning: Replacing the platform keys with your own can end up bricking hardware on some machines, including laptops, making it impossible to get into the firmware settings to rectify the situation. This is due to the fact that some device (e.g GPU) firmware (OpROMs), that get executed during boot, are signed using Microsoft 3rd Party UEFI CA certificate or vendor certificates. This is the case in many Lenovo Thinkpad X, P and T series laptops which uses the Lenovo CA certificate to sign UEFI applications and firmwares.

E com relação a esse aviso?

Pelo que eu entendo da estrutura do SB, sua chave(pk) vai assinar as chaves downstream(kek) que assinam os binários a serem confiados pelo SB e uma delas é a chave da MS.

Esse aviso é mais para sistemas integrados(OEM). Como sua placa é retail elá vem mais genérica para aceitar tudo quanto há.

Tenho um setup aqui que posso até testar mais tarde e te falar se dá tudo certo.

1 curtida

Se você conseguir e não for te atrapalhar eu agradeço, aí vc me fala o que você seguiu

Oi, você conseguiu testar?

Você quer ativar o secure boot por causa do Windows? Eu uso o Windows 11 de boa com o secure boot desativado.

Mas não é necessário?
nas recomendações
Mas msm se não for também tem o valorant que precisa dele ativado

O Windows exige que a máquina tenha suporte a secure boot, mas não exige que o secure boot esteja ativado.

1 curtida

A entendi, bom saber isso já ajudou, mas e com relação ao valorant? que precisa do secure boot ativado, até onde eu lembro

Testei amigo! Apesar do setup da wiki ter “funcionado”, não consegui dar boot no Windows após ativar o SB (erro de violação). A placa aqui é mais antiga, não sei se pode ser isso. Ainda vou tentar outras formas, veremos.

1 curtida

Vish, aí é osso
Pelo que o @Melk falou não é necessário estar ativo, porém o valorant precisa então aí complica
Caso consiga fala fazendo favor
Se não ou eu dou uma abandonada no valorant ou eu mudo no arch para o fedora, coisa que não estou tão afim

1 curtida

Bom, tem o jeitinho. Sempre que for jogar vc entra na bios e ativa o SB, depois quando for voltar pro Arch vc desativa. Em teoria se vc ativar ele aí agora o Windows aceita né? Acho que só não vai funcionar se vc tiver os dois no mesmo drive.

Amigo, pior que eu joguei Valorant uns dias, isso ano passado, eu tinha dualboot, mas não lembro que magia eu usei pra funcionar, era Windows 10.

No windows 10 funciona de boa, o negócio é o windows 11, nele o valorant pede o SB

Será que se eu por exemplo entrar no windows 11 sem o SB e eu ligar somente quando for jogar o valorant dá problema?

No caso, vc só pode ativar/desativar antes do boot, ao ligar o PC, depois que o Windows iniciou ele está com o status do SB ligado ou desligado, não tem como trocar.

Aí complica
É minha cara entrar no windows só para ver um negócio ou outro e esquecer de ligar