Comment activer Secure Boot sans problème?

Les chargeurs de démarrage sont écrits pour le micrologiciel de l'ordinateur. Ceci est analogue au logiciel, qui est écrit pour un système d'exploitation particulier. Ainsi, vous ne "convertissez pas ... le chargeur de démarrage en UEFI"; ce serait comme "convertir le client de messagerie en Windows" ou "convertir l'éditeur de photos en Linux". Au lieu de cela, vous installez un nouveau programme pour l'environnement souhaité. Dans certains cas, le nouveau programme peut porter le même nom que l'ancien (comme dans Thunderbird ou GIMP, disponibles pour Windows et Linux; ou GRUB 2, disponible pour le BIOS et EFI. ) Dans d'autres cas, il existe des programmes spécifiques au système d'exploitation ou au microprogramme, tels que efibootmgr (un outil spécifique à Linux) ou rEFInd (un gestionnaire de démarrage spécifique à EFI).

Si votre ordinateur démarre actuellement en mode BIOS/CSM/legacy, pour démarrer en mode EFI, vous devez effectuer plusieurs opérations:

• Convertissez le disque de Master Boot Record (MBR) en GPT) . Cette étape peut ne pas être strictement requise, mais certains EFI peuvent être difficiles et utiliser MBR peut nécessiter l'installation de votre chargeur de démarrage au nom de fichier de secours (EFI/BOOT/bootx64.efi), ce que la plupart des outils ne font pas par défaut. Ainsi, une conversion de MBR en GPT est souhaitable. Cela peut être fait assez facilement avec mon programme gdisk (qui est installé dans Ubuntu par défaut), comme décrit ici.
• Créer une partition système EFI (ESP). Il s'agit d'une partition hébergeant les chargeurs d'amorçage EFI. Il n'a pas d'équivalent exact dans le BIOS. Vous devrez probablement utiliser GParted pour redimensionner au moins une partition afin de laisser de la place à l'ESP. Je recommande de le rendre 550MiB en taille. Bien qu'un ESP soit généralement la première ou la deuxième partition d'un disque, les réalités du redimensionnement des partitions signifient qu'il peut être préférable de la faire en dernier partitionnez le disque si vous effectuez la conversion de BIOS/MBR vers EFI/GPT.
• Installez un chargeur de démarrage EFI. GRUB 2 est le chargeur de démarrage traditionnel, et il peut être installé assez automatiquement en démarrant un live CD Ubuntu en mode EFI et en exécutant Réparation de démarrage. La réparation de démarrage devrait également permettre à Secure Boot de fonctionner. La plupart des autres chargeurs de démarrage nécessiteront quelques sauts supplémentaires pour fonctionner avec Secure Boot, bien que parfois ce ne soit pas si grave - s'il détecte Shim (l'outil Linux le plus utilisé pour prendre en charge le démarrage sécurisé), mon propre rEFInd se configurera pour utiliser Secure Boot.
• Redémarrez et espérez que tout fonctionne. N'importe quel nombre de choses peuvent aller mal avec tout cela. Si vous avez des problèmes, le mieux est de chercher une solution ici et ailleurs et, si vous n'en trouvez pas, posez une nouvelle question ici ou sur un autre forum.

Notez que dans une installation Linux, la différence de logiciel uniquement réellement critique entre une installation en mode BIOS et une installation en mode EFI est le chargeur de démarrage. Par conséquent, le passage du mode BIOS au mode EFI ne nécessite aucune modification logicielle supplémentaire. (En pratique, l’installation d’un GRUB en mode EFI est susceptible d’insérer d’autres packages associés, tels que efibootmgr. C’est vraiment utile, mais pas critique pour l’amorçage.) Aucune modification n’a été apportée à. le noyau, les bibliothèques C, les shells, l'interface graphique ou d'autres outils essentiels requis sous EFI par rapport au BIOS. Comme je l'ai écrit ci-dessus, le partitionnement devra être ajusté, mais cela ne nécessite aucune modification du logiciel. Secure Boot nécessite Shim, PreLoader ou des configurations personnalisées spéciales; et selon le chargeur de démarrage, un noyau signé peut être requis.

Comme vous pouvez le constater, Ubuntu devrait fonctionner correctement avec Secure Boot. (Il y a cependant des exceptions occasionnelles dues aux EFI difficiles. Par ailleurs, l'utilisation de Secure Boot facilite la configuration erronée d'un élément afin qu'il se casse.) Lorsque vous effectuez une nouvelle installation avec Secure Boot actif, tout devrait être assez transparent. Lorsque vous effectuez une conversion à partir d'une installation en mode BIOS existante, vous rencontrerez probablement des problèmes, car les outils de conversion n'existent pas vraiment (à moins que vous ne comptiez la réparation de démarrage, qui ne fait qu'une partie du travail). Ainsi, vous finirez par faire plus manuellement, ce qui signifie qu'il y a plus de place pour rater une étape ou faire une erreur.

Pour plus d'informations sur Linux et le démarrage sécurisé, lisez ma page Web principale sur le sujet, , qui traite des principes de base et des configurations types. Si vous voulez vraiment utiliser une configuration personnalisée de démarrage sécurisé, lisez ma page sur la prise du contrôle intégral de Secure Boot. Ceci décrit comment configurer le système pour qu'il démarre avec le démarrage sécurisé actif, mais sans Shim ni PreLoader, et de manière à vous permettre de verrouiller les outils Microsoft, si vous le souhaitez.