Jak dostat Lenovo laptop s Linuxem ze “Setup Mode” aby byl povolený Secure Boot.

Dnes jsem si náhodou všiml, že i když mám v BIOSu Secure Boot povolený, systém hlásí, že je vypnutý.

Ověření z příkazové řádky potvrdilo tvrzení Gnome System Settings:

$ dmesg | grep -i secure
[    0.000000] secureboot: Secure boot disabled
[    0.024883] secureboot: Secure boot disabled

A mokutil zároveň ukázalo v čem je problém:

$ sudo mokutil --sb-state
SecureBoot disabled
Platform is in Setup Mode

Jak jsem již psal, v BIOSu v záložce “Security” byl Secure Boot povolený, stejně tak v záložce “Startup” byl BIOS přepnutý na “UEFI Only” a “CSM Support” byl vypnutý (ono ostatně jej ani nelze mít se Secure Bootem zapnutý).

“Setup mode” umožňuje systému nahrát svůj vlastní key-exchange key (KEK) a platform key (PK).

V případě mého Lenovo laptopu jsem to vyřešil obnovením továrních klíčů a certifikátů pro Secure Boot v BIOSu pomocí “Restore Factory Keys” na záložce “Security“:

Secure Boot už je zapnutý:

$ sudo mokutil --sb-state
SecureBoot enabled