спасибо. а что за хранилище ключей?
кстати, как без установки по-быстрому посмотреть, появилась ли возможность установить загрузчик ?
хочу с разными вариациями настроек биоса проверить, заработает ли установка.
я руководствовался информацией из интернета. к примеру, здесь пишут, что для установки двух систем на одну машину лучше сначала винду поставить, а потом линукс, т.к. последний может сохранить загрузчик винды. а виндовый загрузчик затрёт линуксовый
Гравитон
Это отечественный ноутбук?
____ да, он самый ____
Ой, давно это было и посмотреть никак не вспоминаю вовремя. Напомни мне через четыре - пять часов глянуть настройки у себя. Мысленно напомни, будто телепат - может вспомню.
Ну смотри, прошивка биоса подписана производителем открытым ключом, но пофиг на неё. Важнее то что она содержит модуль проверяющий электронную подпись того “файла” что ей подсунут, ну и естественно его хэш. Сверяет этот модуль подписи с подписями в базах db и dbx. Как-бы базы две, но есть ещё dbt - база временных меток и dbr - резервная, обычно в составе самой прошивки и/или в свободной области ПЗУ. В базе db лежат разрешённые подписи, в базе dbx - запрещённые. Базы не бесконечные и чем они более заполнены - тем дольше модуль по ним ищет… но это тоже не важно сейчас. Прошивка биоса подписана открытым ключом производителем - это так называемый PK - Platform Key. Там может быть сложнее, но не будем об этом. А подписи которыми подписаны всякие загрузчики и драйверы которые ты хочешь загрузить, должны лежать в db, но не в dbx. Для того чтобы внести изменения в db, dbx требуется сообщить модулю открытый ключ KEK - Key Exchange Key. Есть ещё всякие умолчания и прочие исключения и названия могут слегка варьировать - например в майкрософт решили dbr - dbRecovery писать, но это уже частности.
Вводная закончена.
Теперь смотри - если у тебя вообще включен режим загрузки по ключам - Secure boot, и винда загружается успешно - значит подписи от загрузчика винды лежат в db. Если при этом грузиться grub2 никак не хочет - значит его подписи нет в db или есть в dbx. Если db не заполнена до предела - и ты знаешь KEK или если KEK пустой - значит ты можешь в меню UEFI Secure boot выбрать образ с подписью - тот самый BOOT64.EFI или LINUX64.EFI или GRUB64.EFI как его там ни зовут и загрузиться с него. Если подпись в dbx или db заполнен - надо их чистить. Для этого можно или воспользоваться KEK или перейти из режима User Mode в режим Setup Mode. С последним - будьте поосторожнее, только если вы полностью поймете что делаете.
Вообще, насколько помню, я действовал по похожему алгоритму.
Вот от MS по ключам и их суперсекретной загрузке.
Вот процедура проверки подписи в схемах и таблицах.
Вот гораздо более умный человек чем я ведёт статьи по.
Вот хорошая статья описывающая в том числе и переход в Setup Mode.
Alexlton
Спасибо за подробный ответ. Пожалуй, я пока забью на калькулейт 
Так это не калькулейт, а все загрузчики так будут вести себя на вашем ноуте, кроме тех чьи подписи уже в базе.
Выше в посте указана ссылка на алгоритм - там всё просто, по порядку, по пунктам и с картинками.
Впрочем это всегда ваш выбор.
Доброго дня! Была похожая проблема с ноутбуком Леново и убогим биосом(ЕФИ). Пишу по памяти:
По сути ЕФИ(железо) без разницы что лежит на разделе ЕФИ, важно чтобы в NVRAM был указатель на нужный файл. Поэтому очень важно, с кривыми ЕФИ, прописывать через BCDedit или чтото подобное загрузочную запись.
Летом ставил calc на ноут с win11, чтобы выключить secure boot сначала пришлось в win11 отключить шифрование загрузочного раздела.
После этого сделал раздел 200 МВ для UEFI и при установке положил туда загрузчик груба, bios его сам увидел, и я в bios-е указал загружать по умолчанию именно его.
Если понадобится win11, переключаю в bios-е, но надо очень редко, последних раз было 2 месяца назад – обновление BIOS-а для Dell XPS запускается только из-под win, только из-за подобного windows и оставлял.