Wir haben immer wieder Schwierigkeiten mit Rechnern, bei denen Secure Boot im UEFI bzw. BIOS aktiviert ist. Meistens hat man dann Secure Boot abgeschaltet. Das ist eigentlich gar nicht notwendig, denn jedes aktuelle Linux arbeitet seit ca. 2000 problemlos auch mit aktiviertem Secure Boot. Hier sind die wichtigsten Punkte dazu.
Was ist Secure Boot
Secure Boot stellt sicher, dass das UEFI/BIOS nur Betriebssysteme startet, die aus einer vertrauenswürdigen Quelle stammen. Da Rechner meist mit vorinstalliertem Windows ausgeliefert werden, wird nur MS Windows als automatisch “vertrauenswürdig” angesehen (obwohl man das bezweifeln kann 
). Das kann man aber ändern, indem andere Betriebssysteme “bekannt” gemacht werden. Das passiert mit einem kryptographischen Schlüssel, der in das UEFI/BIOS importiert werden muss.
Secure Boot und Ventoy
Damit Secure Boot auch mit Ventoy funktioniert, muss man mindestens die Ventoy Version 1.1.07 vom 18. August 2025 benutzen. Wenn der Rechner wegen eines fehlenden Schlüssels das Ventoy nicht annimmt, erscheint ein blau hinterlegter Bildschirm. Dort kann man den fehlenden Schlüssel in die Schlüsseldatenbank des UIEFI BIOS importieren (enroll MOK - machine owner key). Der Schlüssel befindet sich auf der EFI Partition des Ventoy USB Sticks:
und dort im Root Verzeichnis
EFI ENROLL_THIS_KEY_IN_MOKMANAGER.cer grub System Volume Information tool ventoy
Auf der Linux Shell gibt es dazu auch die Anwendung mokutil, mit der Schlüssel manuell importiert und gelöscht werden können.
Installation von Distributionen aus Ventoy heraus
Das Importieren des Ventoy Keys erlaubt den fehlerfreien Start der Ventoy Anwendung mit aktivem Secure Boot. Danach wird das Installationsproblem der Distribution selbst gestartet (z.B. Linux Mint). Dann kann es genau zum gleichen Problem kommen: das UEFI verweigert den Start der Installation, weil es den Key des Installtionsprogramms nicht kennt. Auf den UEFI-fähigen ISO Images aller Distributionen gibt es daher passende “shims” (engl. Unterlegscheibe) mit Zertifikaten, die man einmal importieren/akzeptieren muss (hier am Beispiel OpenSUSE, bei anderen Distros analog).
Wenn später beim ersten Neustart ein Passwort in einem blauen Screen (der MokManager) verlangt wird, muss man es einmal setzen, z.B. nimmt man das Root Passwort.
Kernel-Module und Secure Boot
Secure Boot wird auch aktiv, wenn Kernel Module neu hinzugefügt werden oder wenn man einen aus dem Quellcode selber gebauten Kernel bevorzugt. Bei den Kernel Modulen gilt das z.B. für VirtualBox oder für proprietäre AMD/Intel/NVIDIA Treiber. Die sind normalerweise vor-signiert, aber im Zweifelsfall muss man von Hand nachhelfen.
Der umfangreiche Artikel aus dem SUSE Wiki beschreibt die technischen Grundlagen von UEFI und Secure Boot plus viele Shell Befehle rund um MokManager und mokutil sowie Sonderfälle für AMD, NVIDIA und Intel Grafikkarten. Die Grundprinzipien sind bei allen Distributionen ähnlich, Tipps und Befehle sollten weitgehend übertragbar sein.
Zuletzt bearbeitet von @Linuxcafe 2025-11-02T17:49:40Z