Não consigo inicializar o Ubuntu 18.04.2 LTS ou seu Live USB após inscrever o MOK. Aqui estão as etapas que levaram a essa situação.
- Instalação limpa do Ubuntu 18.04.2 LTS na estação de trabalho Dell Precision T7910. Nenhum outro sistema operacional instalado nesta máquina.
- O sistema operacional instalado usando um UEFI LiveUSB. Inicialização segura LIGADA.
- Driver proprietário nvidia-430 instalado para uma placa gráfica Nvidia Titan-X. A instalação solicitou uma senha para me inscrever no MOK. Ao reiniciar, a tela MOK Management solicitou a senha para registrar a chave. Cadastrei a chave com sucesso. Eu reiniciei o sistema várias vezes desde então. Tudo funcionou bem.
- Teve uma falha na placa-mãe. Substituído por uma nova placa-mãe. O sistema inicializou corretamente após redefinir a etiqueta de serviço da Dell. Reinicializei algumas vezes com Secure Boot ON. Sem problemas.
- Substituí a placa gráfica Nvidia por uma placa AMD. O driver padrão no Ubuntu funcionou bem. Mas eu queria usar o driver mais recente. Baixei o driver do site da AMD. A instalação me solicitou que eu definisse uma senha para registrar a chave no MOK. Reiniciei a máquina. Inscreveu a chave no MOK usando a mesma senha. Ao reiniciar, agora me deparo com o seguinte erro, após o qual a máquina é desligada.
Não foi possível acionar a tabela de eventos finais do tcg2: parâmetro inválido
Algo deu muito errado: import_mok_state() falhou
: Parâmetro inválido
A inicialização a partir do instalador LiveUSB do Ubuntu mostra a mesma mensagem de erro seguida pelo desligamento da máquina. Recebo esta mensagem de erro independentemente de a inicialização segura estar ativada ou desativada.
Posso inicializar com sucesso o LiveUSB no modo legado. Mas não consigo usar o utilitário efibootmgr (veja a 2ª respostaaqui) para corrigir os carregadores na partição EFI. Para usar o utilitário efibootmgr, preciso inicializar no modo UEFI. Mas tentar inicializar o Ubuntu Live USB no modo UEFI resulta na mensagem de erro acima e no desligamento do sistema.
Encontrei outro tópico relacionadoaqui. No entanto, como não consigo inicializar a partir do LiveUSB no modo UEFI, não consigo realizar nenhuma operação EFI.
consegui inicializarCD de resgate do sistemacom inicialização segura ativada. Excluí todas as partições do disco de inicialização. Tentei reinstalar o Ubuntu do LiveUSB, mas recebi a mesma mensagem de erro. Instalei com sucesso o Windows 10, que inicializou bem no modo seguro. Em seguida, excluí todas as partições novamente e decidi dar uma olhada em todas as configurações do BIOS.
Ativado o TPM. E agora posso inicializar a partir do LiveUSB no modo Secure Boot. Mas se eu desligar o TPM, ele voltará à mensagem de erro anterior. Com o TPM ativado, reinstalei o sistema operacional do LiveUSB. Optei por instalar drivers de vídeo adicionais que me pediram para definir uma senha para registrar chaves no Mok. Após a reinicialização, o Mok Manager apareceu e me pediu a senha para cadastrar as chaves. Eu obedeci e agora posso inicializar o Ubuntu a partir do disco de inicialização (desde que o TPM esteja ativado).
Questões:
- Por que o TPM precisa estar ativado para que a inicialização segura funcione bem? Não estava ligado na primeira vez que instalei o Ubuntu e a inicialização segura estava funcionando bem.
- Agora que consigo garantir a inicialização do sistema operacional, há coisas que eu poderia fazer para que a inicialização segura funcionasse sem o TPM?
Responder1
Depois de muita pesquisa encontrei o seguinteaqui:
O EUFI contém uma base de dados de autoridades de confiança registadas. Os usuários podem adicionar suas próprias autoridades confiáveis a esse banco de dados para permitir o carregamento de sistemas operacionais que não sejam da Microsoft.
É aqui que os Trusted Platform Modules (TPMs) são usados. Os TPMs podem ser usados para armazenar chaves ou executar rotinas de criptografia/assinatura/verificação. O TPM combinado com o UEFI é o que permite a verificação do boot loader e o carregamento de um sistema operacional.
Portanto, parece que os drivers de vídeo proprietários da Nvidia e da AMD desejam armazenar suas chaves no TPM.
O TPM possui duas configurações de modo que são confusas: Ativo e Ativado. Eles significam coisas diferentes. Ativo aparece como caixa de seleção "TPM ativado" na minha estação de trabalho Dell Precision. Neste estado, algumas funções do TPM estão disponíveis. Isso inclui armazenamento e pesquisa de chaves. “Ativado” significa que o TPM está totalmente funcional; ele pode ser usado para coisas como criptografar discos. Isso explica por que o TPM deve estar “ligado” ou “ativo” para o Ubuntu inicializar (especialmente com drivers de vídeo proprietários), mas não é necessário “habilitar” o TPM para inicialização segura.
Com esse entendimento, usei entãoesseartigo para remover chaves antigas e desnecessárias.