Documentação da jornada para habilitar Secure Boot no CachyOS com placa-mãe Gigabyte Z490M Gaming X e GPU AMD Navi 10.
Conclusão: O Secure Boot não pode ser habilitado nesta placa devido a um bug conhecido no firmware AMI Gigabyte. O sistema opera normalmente sem Secure Boot.
| Componente | Modelo |
|---|---|
| Placa-mãe | Gigabyte Z490M Gaming X |
| Chipset | Intel Z490 (PCH Comet Lake) |
| CPU | Intel Core i5-11400 @ 2.60GHz (11ª Gen — Rocket Lake) |
| RAM | 32 GiB |
| GPU | AMD Radeon RX 5700/5600 XT — Navi 10 (rev c1) |
| Driver GPU | amdgpu (open-source, kernel) |
| Resolução | 3840×2160 (4K) |
| Boot SSD | Crucial CT480BX500SSD1 480GB SATA |
| NVMe | Kingston SNVS1000G 1TB |
| Rede | Intel Ethernet I219-V |
| UEFI | American Megatrends v5.17 |
| Bootloader | systemd-boot 259.3-1-arch |
| TPM2 | Presente e suportado |
Nota: O i5-11400 é Rocket Lake (11ª Gen) em placa Z490 (Comet Lake). Requer atualização de BIOS da Gigabyte antes da instalação.
Com o Secure Boot ativo, o módulo amdgpu falha ao carregar:
amdgpu: Required key not available
O módulo é assinado com a "Build time autogenerated kernel key" do kernel — aceita quando o kernel EFI está corretamente assinado pelo sbctl. O problema era que o GUID do sbctl não estava no db do firmware.
- Kernels assinados com
sbctl(linux-cachyoselinux-cachyos-lts) - EFIs assinados (
BOOTX64.EFI,systemd-bootx64.efi) sbctl enroll-keys --microsoft→ bloqueado: firmware em User Mode
A opção "Restore to Setup Mode" / "Delete All Secure Boot Variables" na BIOS não funciona na Z490M Gaming X (AMI 5.17).
O firmware reinscreve automaticamente as chaves Microsoft na flash SPI — separada da CMOS/NVRAM. Remover a pilha CR2032 não resolve.
Todas as alternativas tentadas falharam com Security Violation:
efi-updatevar -d 0 PK(requer User Mode com chave Microsoft)dmpstore -d PKno UEFI Shell (deleção não autenticada rejeitada)- KeyTool.efi (compilado manualmente — mesmo resultado)
- Clear CMOS / pilha CR2032 (flash SPI independente da CMOS)
Documentação completa: docs/bug-gigabyte-setup-mode.md
$ sbctl status
Setup Mode: ✗ Disabled ← bug Gigabyte, não tem solução por software
Secure Boot: ✗ Disabled ← desabilitado permanentemente
Vendor Keys: microsoft builtin-db builtin-KEK builtin-PK
O sistema opera normalmente com systemd-boot + CachyOS sem Secure Boot.
docs/
bug-gigabyte-setup-mode.md # Bug firmware + todas as tentativas documentadas
solucao-passo-a-passo.md # Passos executados e diagnóstico técnico
pos-reinicio-bios.md # (histórico) Plano que dependia de Setup Mode
scripts/
sign-current-kernel.sh # Assina o kernel atual com sbctl
install-pacman-hook.sh # Verifica hook automático de assinatura
create-igpu-fallback-entry.sh # Cria entrada iGPU Intel como fallback
- sbctl issue #250 — enroll-keys falha em User Mode
- CachyOS Wiki — Secure Boot Setup
- ArchWiki — Secure Boot
- Rod Smith — Controlling Secure Boot