註冊 MOK 後,我無法啟動 Ubuntu 18.04.2 LTS 或其 Live USB。以下是導致這種情況的步驟。
- 在 Dell Precision T7910 工作站上全新安裝 Ubuntu 18.04.2 LTS。這台機器上沒有安裝其他作業系統。
- 使用 UEFI LiveUSB 安裝的作業系統。安全啟動開啟。
- 為 Nvidia Titan-X 顯示卡安裝了 nvidia-430 專有驅動程式。安裝時提示我輸入密碼以註冊 MOK。重新啟動時,MOK 管理畫面要求輸入密碼以註冊金鑰。我成功註冊了密鑰。從那時起我已經重新啟動系統好幾次了。一切都很好。
- 主機板故障。更換了新主機板。重置戴爾服務標籤後系統正常啟動。在安全啟動打開的情況下重新啟動幾次。沒問題。
- 將 Nvidia 顯示卡更換為 AMD 卡。 Ubuntu 中的預設驅動程式運作良好。但我想使用最新的驅動程式。從 AMD 網站下載驅動程式。安裝提示我設定密碼以使用 MOK 註冊金鑰。重新啟動機器。使用相同的密碼透過 MOK 註冊金鑰。重新啟動後,我現在遇到以下錯誤,然後機器關閉。
無法觸發 tcg2 最終事件表:參數無效
出現嚴重錯誤:import_mok_state() 失敗
: 無效的參數
從 Ubuntu 的 LiveUSB 安裝程式啟動會顯示相同的錯誤訊息,然後機器關閉。無論安全啟動設定為“開”還是“關”,我都會收到此錯誤訊息。
我可以在傳統模式下成功啟動 LiveUSB。但是我無法使用 efibootmgr 實用程式(請參閱第二個答案這裡)修復 EFI 分割區中的載入程式。為了使用 efibootmgr 實用程序,我需要以 UEFI 模式啟動。但是嘗試在 UEFI 模式下啟動 Ubuntu Live USB 會導致出現上述錯誤訊息並導致系統關閉。
我發現了另一個相關主題這裡。但是,由於我無法在 UEFI 模式下從 LiveUSB 啟動,因此無法執行任何 EFI 操作。
我能夠啟動系統救援光碟安全啟動開啟。我刪除了啟動磁碟上的所有分割區。嘗試從 LiveUSB 重新安裝 Ubuntu,但遇到相同的錯誤訊息。我成功安裝了 Windows 10,並在安全模式下正常啟動。接下來,我再次刪除了所有分割區,並決定仔細查看所有 BIOS 設定。
已開啟 TPM。現在我可以在安全啟動模式下從 LiveUSB 啟動。但如果我關閉 TPM,它會恢復到先前的錯誤訊息。啟用 TPM 後,我從 LiveUSB 重新安裝了作業系統。選擇安裝額外的視訊驅動程序,要求我設定密碼以使用 Mok 註冊金鑰。重新啟動後,Mok Manager 出現並詢問我註冊金鑰的密碼。我同意了,現在我可以從啟動磁碟啟動 Ubuntu(只要 TPM 設定為 ON)。
問題:
- 為什麼需要打開 TPM 才能讓安全啟動正常運作?我第一次安裝 ubuntu 時它沒有打開,並且安全啟動工作正常。
- 既然我能夠安全啟動作業系統,我可以做些什麼來讓安全啟動在沒有 TPM 的情況下運作嗎?
答案1
經過大量搜索,我發現了以下內容這裡:
EUFI 包含註冊可信任機構的資料庫。使用者可以將自己的信任權限新增到該資料庫中,以便能夠載入非 Microsoft 作業系統。
這就是使用可信任平台模組 (TPM) 的地方。 TPM 可用於儲存金鑰,或執行加密/簽署/驗證例程。 TPM 與 UEFI 結合,可以驗證引導程式和載入作業系統。
因此,專有的 Nvidia 和 AMD 顯示驅動程式似乎希望將其密鑰儲存在 TPM 中。
TPM 有兩種令人困惑的模式設定 - 活動和啟用。它們的意義不同。在我的 Dell Precision 工作站上,「活動」顯示為「TPM 開啟」複選框。在此狀態下,TPM的部分功能可用。其中包括密鑰存儲和查找。 「啟用」表示 TPM 功能齊全;它可以用於加密磁碟等事情。這解釋了為什麼 TPM 必須「開啟」或「活動」才能啟動 Ubuntu(尤其是使用專有顯示驅動程式),但無需「啟用」TPM 進行安全啟動。
有了這個理解,我然後使用這刪除舊的和不必要的密鑰的文章。