Primeiro, o binário Shim do Ubuntu inclui uma cópia da chave pública da Canonical (Ubuntu) embutida nele, e este binário é assinado pela Microsoft, portanto, deve ser possível inicializar sem a chave Canonical em seu firmware. Dito isso, você pode se deparar com o problema que descreve se estiver usando outro binário do Shim - por exemplo, se estiver inicializando duas vezes com o Fedora e estiver usando o Shim do Fedora para iniciar o processo de inicialização. (Além disso, veja o final desta resposta ....)
Nesse caso, você deve poder usar a ferramenta MokManager para adicionar a chave da Canonical à lista MOK, que o Shim irá ler. O MokManager deve estar na Partição do Sistema EFI (ESP) do seu disco, juntamente com o binário Shim. Idealmente, o MokManager deve ser uma opção em qualquer GRUB ou outro menu gerenciador de inicialização que você vê quando inicializa. Caso contrário, você pode ajustar o arquivo /boot/grub/grub.cfg
para adicionar uma entrada, que deve ficar assim:
menuentry "MokManager" {
insmod part_gpt
insmod chain
set root='(hd0,gpt1)'
chainloader /EFI/fedora/MokManager.efi
}
Você precisará ajustar essa entrada para o seu sistema em particular. Em particular, a opção set root
deve apontar para o seu ESP, que pode ou não ser (hd0,gpt1)
; e o caminho para o MokManager pode ser algo diferente do que eu especifiquei. (Estou mostrando um caminho do Fedora como exemplo. Note que você deve apontar para o binário MokManager que vem com o binário Shim que você está usando.)
Existem algumas outras opções disponíveis para você:
- Você pode desabilitar totalmente o Secure Boot. Essa é a abordagem mais fácil, mas o Secure Boot existe para melhorar a segurança, portanto, não recomendo isso como uma regra geral, especialmente se você estiver com a inicialização dupla no Windows. Detalhes de como desativá-lo variam muito de um sistema para outro. Eu apresento vários exemplos em esta página minha.
- Você pode assumir o controle total do Secure Boot e adicionar a chave pública da Canonical ao seu firmware, conforme descrito em esta página minha. Esta abordagem é para aqueles com "credos de rua geek" significativos; é tecnicamente desafiador e até mesmo as pessoas que se sentem à vontade com as ferramentas de linha de comando tendem a se debater um pouco. Eu menciono essa abordagem principalmente porque o título da sua pergunta se refere ao PK e ao db, que são chaves armazenadas dessa maneira. A abordagem padrão da Canonical ao Secure Boot não envolve a modificação dessas chaves, mas essas variáveis são ajustadas quando você assume o controle total do Secure Boot. Se você fez isso antes, talvez tudo que você precise seja um ponteiro para a documentação relevante, então é isso ...