= secure boot
== ubuntu install
  * desactivar **secure boot** para instalación en un mismo ordenador de Linux y Windows
  * se supone que debería funcionar, pero no lo he conseguido:
    * Instalar ubuntu, definir la contraseña temporal, al finalizar, rearrancar con el USB para hacer el **enroll** de la key <- no ha funcionado, da un error de que la imagen no autentica
    * ¿entrando en BIOS y añadiendo la clave al anillo?
== virtualbox
Para poder usar virtualbox en un ordenador con secure boot activo, se han de firmar los drv y añadirlos a la base de datos de firmas autorizadas.

  - comprobamos que no podemos añadir el driver de virtualbox: ''sudo modprobe vboxdrv''
  - instalamos **mokutil**: ''sudo apt install mokutil''
  - generamos una firma: ''openssl req -new -x509 -newkey rsa:2048 -keyout MOK.priv -outform DER -out MOK.der -nodes -days 36500 -subj "/CN=VirtualBox/"''
  - añadimos al kernel: ''sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file sha256 ./MOK.priv ./MOK.der $(modinfo -n vboxdrv)''
  - lo registramos para secure boot (nos pedirá una contraseña, será de 1 solo uso): ''sudo mokutil --import MOK.der''
    * llegados a este punto, se supone que en el próximo reinicio debería aparecernos el menú para gestionar las keys de secure boot y que podríamos añadir una (la que hemos generado). En el caso del un Lenovo thinkpad no ha pasado, hay que entrar en el menú de Security -> Secure Boot -> Enroll DB.
    * como tampoco encontraba (o el sistema o yo) el fichero .der, lo he copiado en una USB (FAT16 o FAT32) y lo he importado desde allí.

/via: [[https://slimbook.es/tutoriales/linux/364-firmando-modulo-virtualbox-en-secureboot-uefi-solucion-a-kernel-driver-not-installed-rc-1908]]