{"id":509,"date":"2025-04-21T09:13:28","date_gmt":"2025-04-21T09:13:28","guid":{"rendered":"https:\/\/blog.nibelheim.fr\/?p=509"},"modified":"2025-05-04T12:04:44","modified_gmt":"2025-05-04T12:04:44","slug":"linux-drivers-nvidia-et-secure-boot","status":"publish","type":"post","link":"https:\/\/blog.nibelheim.fr\/?p=509","title":{"rendered":"Linux, Drivers nVidia et Secure Boot"},"content":{"rendered":"\n

Gr\u00e2ce \u00e0 la magie de ChatGPT, qui elle-m\u00eame ne peut op\u00e9rer que gr\u00e2ce \u00e0 la magie de StackOverflow et autres sites avec de vrais gens dessus, je vous propose aujourd’hui de signer nos drivers nVidia.<\/p>\n\n\n\n

Le probl\u00e8me<\/h2>\n\n\n\n

Lorsque vous utilisez Secure Boot, les pilotes non sign\u00e9s num\u00e9riquement sont automatiquement bloqu\u00e9s par le syst\u00e8me.
Autant les pilotes nVidia en usage c\u00f4t\u00e9 Windows sont a priori sign\u00e9s, sinon nous n’avons tout simplement pas le souci, autant c\u00f4t\u00e9 Linux, c’est pas la m\u00eame limonade : peu importe ce que vous installez, les drivers officiels ne sont pas charg\u00e9s et vous vous retrouvez avec un bureau limite en 640×480.
Et ceci, c’est inacceptab’.
Le signe que \u00e7a coince, c’est ceci :<\/p>\n\n\n\n

sudo modprobe nvidia<\/pre>\n\n\n\n
Qui retourne :<\/p>\n\n\n\n
modprobe: ERROR: could not insert 'nvidia': Key was rejected by service<\/pre>\n\n\n\n
La (une?) solution<\/h2>\n\n\n\n
Gardez en t\u00eate que j’ai vaguement pig\u00e9 comment \u00e7a se passe, mais je ne ma\u00eetrise vraiment rien dans ce sujet.
De ce que j’en ai compris, Secure Boot doit enregistrer la cl\u00e9 li\u00e9e \u00e0 un pilote.
Soit cette cl\u00e9 est connue, auquel cas le pilote sera charg\u00e9, soit elle ne l’est pas (inexistante ou inconnue)<\/em> et le pilote n’est pas charg\u00e9e.<\/p>\n\n\n\n
Nous allons donc signer nous-m\u00eames nos pilotes et enregistrer la cl\u00e9 dans Secure Boot (enfin, dans la partie qui g\u00e8re les cl\u00e9s de Secure Boot)<\/em>.<\/p>\n\n\n\n
D\u00e9gainez le terminal, puis, dans l’ordre :<\/p>\n\n\n\n
sudo apt update
sudo apt install mokutil openssl<\/pre>\n\n\n\n
VERY IMPORTANT pour la suite : nous allons cr\u00e9er une paire de cl\u00e9s, que nous allons ensuite inscrire de mani\u00e8re \u00e0 ce qu’elles soient reconnues par Secure Boot.
Cette paire de cl\u00e9s sera prot\u00e9g\u00e9e par un mot de passe le temps de l’enregistrer dans Secure Boot.
Ce mot de passe ne sera demand\u00e9 qu’une seule fois.
MAIS!! Ce processus d’enregistrement se fait au boot de la machine. Votre clavier a de fortes chances de se retrouver en QWERTY (enfin, ce fut le cas du mien). Et donc, si ce mot de passe est sensible aux caract\u00e8res AZERTY\/QWERTY, attention, car aucun caract\u00e8re n’est inscrit \u00e0 l’\u00e9cran!
Pensez donc \u00e0 choisir un mot de passe, m\u00eame bidon, avec des caract\u00e8res insensibles \u00e0 la disposition du clavier, genre tyuiop<\/em><\/strong>, par exemple.<\/p>\n\n\n\n
cd ~
mkdir -p ~\/secureboot-keys
cd ~\/secureboot-keys
openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj \"\/CN=NVIDIA Secure Boot\/\"<\/pre>\n\n\n\n
Choisissez votre mot de passe, comme \u00e9crit ci-dessus, puis :<\/p>\n\n\n\n
sudo mokutil --import MOK.der<\/pre>\n\n\n\n
Ceci fait, rebootez, puis s\u00e9lectionnez dans le nouvel \u00e9cran qui s’affiche Enroll MOK <\/strong>:<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Puis Continue<\/strong> (ou View Key, si vous voulez voir que la cl\u00e9 s’appelle bien “NVIDIA Secure Boot”…)<\/em><\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Entrez ensuite le fameux mot de passe :<\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
Ceci fait, vous pouvez red\u00e9marrer et retourner sous Linux.<\/p>\n\n\n\n
Assurez-vous d’avoir install\u00e9 les drivers qui vous int\u00e9ressent (il risque d’y avoir besoin de plusieurs essais, mais le plus dur est pass\u00e9)<\/em> :<\/p>\n\n\n\n
sudo apt install nvidia-driver-<tab><\/em> # pour afficher toutes les versions disponibles
# Puis une fois la version qui vous int\u00e9resse rep\u00e9r\u00e9e :
sudo apt install nvidia-driver-550 dkms -y<\/pre>\n\n\n\n
Red\u00e9marrez (\u00e7a sera toujours moche, c’est normal)<\/em>.
Prochaine \u00e9tape, t\u00e9l\u00e9chargez le script suivant (\u00e9videmment ChatGPT)<\/em> et adaptez le chemin de KEYS_DIR<\/strong> \u00e0 votre propre localisation des cl\u00e9s .der<\/em> et .priv<\/em> g\u00e9n\u00e9r\u00e9es tataleur.<\/p>\n\n\n\n\n\n
Bien s\u00fbr, n’oubliez pas de faire un chmod +x <\/em><\/strong>\u00e0 sign-nvidia.sh<\/strong> pour que le script s’ex\u00e9cute.<\/p>\n\n\n\n
Enfin,<\/p>\n\n\n\n
sudo .\/sign-nvidia.sh<\/pre>\n\n\n\n
pour que, si tout va bien, la magie s’op\u00e8re.
Red\u00e9marrez (on finit par s’y faire).
Et confirmez par :<\/p>\n\n\n\n
sudo modprobe nvidia && nvidia-smi<\/pre>\n\n\n\n
Qui cette fois devrait renvoyer un tableau au lieu de Key rejected!<\/p>\n\n\n\n
En esp\u00e9rant que cela vous ait aid\u00e9!<\/p>\n\n\n\n
UPDATE : je me suis rendu compte qu’apr\u00e8s une grosse mise \u00e0 jour, le script plantait puisque les cl\u00e9s ont a priori \u00e9t\u00e9 supprim\u00e9es de \/root\/secureboot-keys.
En mode barbare, j’ai donc rem\u00e9di\u00e9 \u00e0 cette situation comme ceci :<\/p>\n\n\n\n
sudo mkdir -p \/root\/secureboot-keys && sudo cp ~\/secureboot-keys\/* \/root\/secureboot-keys\/<\/pre>\n\n\n\n
Puis relanc\u00e9<\/p>\n\n\n\n
sudo .\/sign-nvidia.sh<\/pre>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Gr\u00e2ce \u00e0 la magie de ChatGPT, qui elle-m\u00eame ne peut op\u00e9rer que gr\u00e2ce \u00e0 la magie de StackOverflow et autres sites avec de vrais gens dessus, je vous propose aujourd’hui de signer nos drivers nVidia. Le probl\u00e8me Lorsque vous utilisez Secure Boot, les pilotes non sign\u00e9s num\u00e9riquement sont automatiquement bloqu\u00e9s […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36,5],"tags":[],"class_list":["post-509","post","type-post","status-publish","format-standard","hentry","category-geekage","category-linux"],"_links":{"self":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=509"}],"version-history":[{"count":5,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/509\/revisions"}],"predecessor-version":[{"id":519,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=\/wp\/v2\/posts\/509\/revisions\/519"}],"wp:attachment":[{"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.nibelheim.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}