Я не могу загрузить Ubuntu 18.04.2 LTS или его Live USB после регистрации MOK. Вот шаги, которые привели к этой ситуации.
- Чистая установка Ubuntu 18.04.2 LTS на рабочей станции Dell Precision T7910. Никакие другие ОС на этой машине не установлены.
- ОС установлена с помощью UEFI LiveUSB. Безопасная загрузка ВКЛЮЧЕНА.
- Установил фирменный драйвер nvidia-430 для видеокарты Nvidia Titan-X. Установка запросила у меня пароль для регистрации в MOK. При перезагрузке экран управления MOK запросил пароль для регистрации ключа. Я успешно зарегистрировал ключ. С тех пор я перезагружал систему несколько раз. Все работало отлично.
- Вышла из строя материнская плата. Заменил на новую материнскую плату. Система нормально загрузилась после сброса сервисного тега Dell. Перезагрузил пару раз с включенной функцией Secure Boot. Никаких проблем.
- Заменил видеокарту Nvidia на карту AMD. Драйвер по умолчанию в Ubuntu работал нормально. Но я хотел использовать последний драйвер. Загрузил драйвер с сайта AMD. Установка предложила мне задать пароль для регистрации ключа с помощью MOK. Перезагрузил машину. Зарегистрировал ключ с помощью MOK, используя тот же пароль. После перезагрузки я теперь сталкиваюсь со следующей ошибкой, после которой машина выключается.
Невозможно запустить таблицу финальных событий tcg2: недопустимый параметр
Произошла серьезная ошибка: import_mok_state() не удалось
: Неверный параметр
Загрузка с установщика LiveUSB Ubuntu показывает то же самое сообщение об ошибке, за которым следует выключение машины. Я получаю это сообщение об ошибке независимо от того, включена или выключена функция Secure Boot.
Я могу успешно загрузить LiveUSB в режиме legacy. Но тогда я не могу использовать утилиту efibootmgr (см. 2-й ответздесь) для исправления загрузчиков в разделе EFI. Чтобы использовать утилиту efibootmgr, мне нужно загрузиться в режиме UEFI. Но попытка загрузить Ubuntu Live USB в режиме UEFI приводит к появлению сообщения об ошибке, указанного выше, и выключению системы.
Я нашел еще одну похожую темуздесь. Однако, поскольку я не могу загрузиться с LiveUSB в режиме UEFI, я не могу выполнять никакие операции EFI.
Я смог загрузитьсясистемный компакт-диск восстановленияс включенной функцией Secure Boot. Я удалил все разделы на загрузочном диске. Попытался переустановить Ubuntu с LiveUSB, но столкнулся с тем же сообщением об ошибке. Я успешно установил Windows 10, которая нормально загрузилась в безопасном режиме. Затем я снова удалил все разделы и решил повнимательнее взглянуть на все настройки BIOS.
Включил TPM. Теперь я могу загружаться с LiveUSB в режиме Secure Boot. Но если я отключу TPM, он вернется к предыдущему сообщению об ошибке. При включенном TPM я переустановил ОС с LiveUSB. Выбрал установку дополнительных видеодрайверов, которые попросили меня задать пароль для регистрации ключей с помощью Mok. После перезагрузки появился Mok Manager и попросил меня ввести пароль для регистрации ключей. Я выполнил его требования, и теперь я могу загрузить Ubuntu с загрузочного диска (при условии, что TPM установлен на ON).
Вопросы:
- Почему TPM должен быть включен для корректной работы безопасной загрузки? Он не был включен, когда я впервые установил Ubuntu, и безопасная загрузка работала нормально.
- Теперь, когда я могу безопасно загрузить ОС, могу ли я что-то сделать, чтобы безопасная загрузка работала без TPM?
решение1
После долгих поисков я нашел следующеездесь:
EUFI содержит базу данных зарегистрированных доверенных органов. Пользователи могут добавлять собственные доверенные органы в эту базу данных, чтобы разрешить загрузку операционных систем, отличных от Microsoft.
Здесь используются модули Trusted Platform Modules (TPM). TPM могут использоваться для хранения ключей или выполнения процедур шифрования/подписывания/верификации. TPM в сочетании с UEFI — это то, что позволяет выполнять проверку загрузчика и загрузку операционной системы.
Похоже, что фирменные драйверы дисплеев Nvidia и AMD хотят хранить свои ключи в TPM.
TPM имеет два режима настройки, которые сбивают с толку — Active и Enabled. Они означают разные вещи. Active отображается как флажок «TPM on» на моей рабочей станции Dell Precision. В этом состоянии доступны некоторые функции TPM. К ним относятся хранение ключей и поиск. «Enabled» означает, что TPM полностью функционален; его можно использовать для таких вещей, как шифрование дисков. Это объясняет, почему TPM должен быть «on» или «active» для загрузки Ubuntu (особенно с фирменными драйверами дисплея), но не обязательно «включать» TPM для безопасной загрузки.
Понимая это, я затем использовалэтотстатья по удалению старых и ненужных ключей.