注册MOK后无法启动Ubuntu18.04.2lts或其LiveUSB

Question

我无法启动Ubuntu18.04.2LTS或其Live注册后，莫克。以下是导致这种情况的步骤。

1. 在戴尔精密T7910工作站上清洁安装Ubuntu18.04.2LTS。这台机器上没有安装其他操作系统。
2. 使用UEFI LiveUSB安装的操作系统。安全启动。
3. 安装了nvidia-430专有驱动程序，用于Nvidia Titan-X显卡.安装提示我输入一个密码来注册MOK。重新启动时，MOK Management屏幕要求输入密码以注册密钥。我成功地注册了钥匙。从那以后，我重新启动了系统几次。一切都很好。
4. 主板出了故障。取而代之的是新主板。系统启动良好后，重置戴尔服务标签。在安全启动的情况下重启了几次。没问题。
5. 用AMD卡取代了Nvidia显卡。Ubuntu中的默认驱动程序运行良好。但我想用最新的司机。从AMD网站下载了驱动程序。安装提示我设置一个密码，以便使用MOK注册密钥。重启了机器。使用相同的密码使用MOK注册密钥。在重新启动时，我现在面临以下错误，随后，机器关闭。

无法触发tcg2最终事件表:无效参数某事严重出错: import_mok_state()失败:无效参数

从Ubuntu的LiveUSB安装程序引导显示相同的错误消息，然后是机器关机。无论安全引导设置为ON还是OFF，我都会收到此错误消息。

我可以在遗留模式下成功地启动LiveUSB。但是，我不能使用efibootmgr实用程序(请参阅第二个答案这里)来修复EFI分区中的加载器。为了使用efibootmgr实用程序，我需要以UEFI模式启动。但是试图在UEFI模式下引导Ubuntu会导致上述错误消息和系统关闭。

我找到了另一个相关的线程这里。但是，由于我无法在UEFI模式下从LiveUSB启动，所以无法执行任何EFI操作。

我能够在安全启动的情况下启动系统救援光盘。我删除了引导磁盘上的所有分区。试图从LiveUSB重新安装Ubuntu，但是遇到了相同的错误消息。我成功地安装了Windows 10，它在安全模式下引导良好。接下来，我再次删除所有分区，并决定仔细查看所有BIOS设置。

打开TPM。现在，我可以在安全启动模式下从LiveUSB启动。但是，如果我关闭TPM，它将返回到前面的错误消息。在启动TPM之后，我从LiveUSB重新安装了操作系统。选择安装额外的视频驱动程序，这要求我设置一个密码，以登记的密钥与莫克。重新启动时，Mok Manager出现并问我注册密钥的密码。我做到了，现在我可以从引导磁盘启动Ubuntu (只要TPM设置为ON)。

问题：

1. 为什么TPM需要打开才能安全启动才能正常工作？这并不是我第一次安装ubuntu，并且安全引导正常工作。
2. 现在我能够安全地引导操作系统了，没有TPM，我还能做些什么来使安全引导工作吗？

Answer 1

经过大量搜索，我发现了以下这里：

EUFI包含一个已注册可信当局的数据库。用户可以将自己的可信权限添加到此数据库中，以便能够加载非Microsoft操作系统。这是使用可信平台模块(TPMs)的地方。TPMs可用于存储密钥或执行加密/签名/验证例程。与UEFI相结合的TPM允许对引导加载程序进行验证，并加载操作系统。

因此，似乎专有的Nvidia和AMD显示驱动程序想要将他们的密钥存储在TPM中。

TPM有两种模式设置，即活动模式和启用模式。它们意味着不同的东西。Active显示为"TPM on“复选框在我的戴尔精密工作站。在这种状态下，TPM的一些功能是可用的。这包括密钥存储和查找。“启用”意味着TPM是完全功能的；它可以用于加密磁盘之类的事情。这解释了为什么TPM必须是"on“或”活动“才能启动Ubuntu (特别是使用专有的显示驱动程序)，但是没有必要为安全引导”启用“TPM。

有了这个理解，我就使用这文章来删除旧的和不必要的键。