Ich kann Ubuntu 18.04.2 LTS oder dessen Live-USB nach der Registrierung von MOK nicht booten. Hier sind die Schritte, die zu dieser Situation geführt haben.
- Neuinstallation von Ubuntu 18.04.2 LTS auf der Dell Precision T7910-Workstation. Auf diesem Computer ist kein anderes Betriebssystem installiert.
- Das Betriebssystem wurde mithilfe eines UEFI LiveUSB installiert. Secure Boot aktiviert.
- Habe den proprietären Treiber nvidia-430 für eine Nvidia Titan-X-Grafikkarte installiert. Während der Installation wurde ich aufgefordert, ein Passwort für die Registrierung bei MOK einzugeben. Beim Neustart wurde ich im MOK-Verwaltungsbildschirm nach dem Passwort für die Registrierung des Schlüssels gefragt. Ich habe den Schlüssel erfolgreich registriert. Seitdem habe ich das System mehrmals neu gestartet. Alles hat gut funktioniert.
- Hatte einen Motherboard-Fehler. Durch ein neues Motherboard ersetzt. Das System bootete nach dem Zurücksetzen des Dell-Service-Tags einwandfrei. Ein paar Mal mit aktiviertem Secure Boot neu gestartet. Keine Probleme.
- Habe die Nvidia-Grafikkarte durch eine AMD-Karte ersetzt. Der Standardtreiber in Ubuntu funktionierte einwandfrei. Aber ich wollte den neuesten Treiber verwenden. Habe den Treiber von der AMD-Website heruntergeladen. Bei der Installation wurde ich aufgefordert, ein Kennwort festzulegen, um den Schlüssel bei MOK zu registrieren. Habe den Computer neu gestartet. Habe den Schlüssel bei MOK mit demselben Kennwort registriert. Beim Neustart tritt nun der folgende Fehler auf, woraufhin sich der Computer abschaltet.
TCG2-Endereignistabelle kann nicht ausgelöst werden: Ungültiger Parameter
Etwas ist ernsthaft schiefgelaufen: import_mok_state() ist fehlgeschlagen
: Ungültiger Parameter
Beim Booten vom LiveUSB-Installationsprogramm von Ubuntu wird dieselbe Fehlermeldung angezeigt, gefolgt vom Herunterfahren des Computers. Ich erhalte diese Fehlermeldung unabhängig davon, ob Secure Boot aktiviert oder deaktiviert ist.
Ich kann den LiveUSB erfolgreich im Legacy-Modus booten. Aber dann kann ich das Dienstprogramm efibootmgr nicht verwenden (siehe die 2. AntwortHier), um die Loader in der EFI-Partition zu reparieren. Um das Dienstprogramm efibootmgr verwenden zu können, muss ich im UEFI-Modus booten. Aber der Versuch, Ubuntu Live USB im UEFI-Modus zu booten, führt zu der oben genannten Fehlermeldung und zum Herunterfahren des Systems.
Ich habe einen anderen verwandten Thread gefundenHier. Da ich jedoch nicht vom LiveUSB im UEFI-Modus booten kann, kann ich keine EFI-Vorgänge durchführen.
Ich konnte bootenSystemrettungs-CDmit aktiviertem Secure Boot. Ich habe alle Partitionen auf der Startdiskette gelöscht. Habe versucht, Ubuntu von LiveUSB neu zu installieren, aber die gleiche Fehlermeldung angezeigt bekommen. Ich habe Windows 10 erfolgreich installiert, das im sicheren Modus einwandfrei gestartet ist. Als Nächstes habe ich alle Partitionen erneut gelöscht und beschlossen, mir alle BIOS-Einstellungen genauer anzusehen.
TPM eingeschaltet. Und jetzt kann ich im Secure Boot-Modus vom LiveUSB booten. Aber wenn ich TPM ausschalte, wird die vorherige Fehlermeldung wieder angezeigt. Mit eingeschaltetem TPM habe ich das Betriebssystem vom LiveUSB neu installiert. Habe mich für die Installation zusätzlicher Grafiktreiber entschieden, woraufhin ich aufgefordert wurde, ein Passwort für die Registrierung von Schlüsseln bei Mok festzulegen. Beim Neustart erschien Mok Manager und fragte mich nach dem Passwort für die Registrierung von Schlüsseln. Ich habe nachgegeben und jetzt kann ich Ubuntu von der Bootdiskette booten (solange TPM eingeschaltet ist).
Fragen:
- Warum muss TPM eingeschaltet sein, damit der sichere Start einwandfrei funktioniert? Als ich Ubuntu zum ersten Mal installiert habe, war es nicht eingeschaltet und der sichere Start funktionierte einwandfrei.
- Da ich nun einen sicheren Start des Betriebssystems durchführen kann, gibt es Dinge, die ich tun kann, damit der sichere Start ohne TPM funktioniert?
Antwort1
Nach langem Suchen habe ich folgendes gefundenHier:
Die EUFI enthält eine Datenbank mit registrierten vertrauenswürdigen Zertifizierungsstellen. Benutzer können dieser Datenbank ihre eigenen vertrauenswürdigen Zertifizierungsstellen hinzufügen, um das Laden von Nicht-Microsoft-Betriebssystemen zu ermöglichen.
Hier kommen Trusted Platform Modules (TPMs) zum Einsatz. TPMs können zum Speichern von Schlüsseln oder zum Ausführen von Verschlüsselungs-/Signatur-/Verifizierungsroutinen verwendet werden. Das TPM in Kombination mit dem UEFI ermöglicht die Verifizierung des Bootloaders und das Laden eines Betriebssystems.
Es scheint also, dass proprietäre Nvidia- und AMD-Grafiktreiber ihre Schlüssel im TPM speichern möchten.
TPM hat zwei verwirrende Moduseinstellungen – Aktiv und Aktiviert. Sie bedeuten unterschiedliche Dinge. Aktiv wird auf meiner Dell Precision-Workstation als Kontrollkästchen „TPM ein“ angezeigt. In diesem Zustand sind einige Funktionen von TPM verfügbar. Dazu gehören Schlüsselspeicherung und -suche. „Aktiviert“ bedeutet, dass das TPM voll funktionsfähig ist; es kann für Dinge wie das Verschlüsseln von Festplatten verwendet werden. Dies erklärt, warum TPM „ein“ oder „aktiv“ sein muss, damit Ubuntu booten kann (insbesondere bei proprietären Anzeigetreibern), es aber nicht notwendig ist, das TPM für Secure Boot zu „aktivieren“.
Mit diesem Verständnis habe ich dannDasArtikel zum Entfernen alter und unnötiger Schlüssel.