セキュアブートを無効にできない場合は、Linuxをインストールする方法は?

セキュアブートを無効にできない場合は、Linuxをインストールする方法は?

USBスティックでVentoyおよび(KDE)ISO Image Writerを使用してFedoraにLinux Mintをインストールしようとしています。 Mint最新バージョン21.3。両方とも「セキュリティブートの競合。無効な署名が検出されました。設定でセキュアブートポリシーを確認してください」というメッセージが表示されました。

BIOSでセキュアブートがグレー表示され、無効にすることはできません。ノートパソコンはLenovo Thinkpad L14(2023年モデル)です。

BIOSでセキュアブートを無効にする効果的な方法が見つからず、セキュアブート機能を備えたUSBスティックの作成方法も見つかりませんでした。

答え1

セーフブート違反。無効な署名が検出されました。設定でセキュアブートポリシーを確認してください。

ブートローダが署名されているがシステムが許可するキーで署名されていないことを示します。これがセキュアブートの目的です。これは、コンピュータの所有者が「識別」していないオペレーティングシステムを実行できないようにすることです。

一般に、良い点には、Microsoft署名ブートローダなどがあります。結局のところ、Windowsはラップトップの「基本」オペレーティングシステムなので、ユーザーはコンピュータがマルウェアによってハイジャックされないことを願っています。その結果、マザーボードベンダーは、信頼できるプラットフォームモジュール(ソフトウェア認証に使用されるデータを格納するチップ)にMicrosoftの公開鍵を含め、Microsoft署名ブートローダの実行を許可します。

そしてこれが主要なLinuxディストリビューションが行うことです。:Microsoftアカウントを作成して、ほとんどのマザーボードから起動できるようにブートローダに署名するようにMicrosoftに依頼してください。

マザーボードの所有者として、あなたはキーの無効化、新しいキーの追加、実行中のオペレーティングシステム(Linux、Windows、Mac OS...)でスキャンの軽減などを実行できます。つまり、コンピュータをシャットダウンしてロックするまでです。
これは(意図的に)一方通行であることが多いです。たとえば、旅行者の機密データを含むノートブックを誰かに提供している場合は、その人が収容されている間にラップトップを持って一人で残したくないでしょう。セキュアブートの無効化、Linuxブート、信頼できるプラットフォームモジュールへのカスタムキーのインストール、新しいキーで署名されたブートローダの追加、ハードドライブ暗号化、VPNなどのための復号化キーを取得するためのキーロガーを含めた後に再起動する機能セキュリティブートを有効にします。繰り返しますが、セキュアブートは実はいい考えだこれは、以前にハードウェアの管理権を奪われなかった場合、ハードウェアの正当な所有者を保護します。

マザーボード設定でセキュアブートを無効にできないという事実(BIOSには何もありません...)は、会社のIT部門が署名したWindowsバージョンのみを許可するカスタムキーを使用してシステムがロックされていることを示します。部門などとセキュアブートできないすべての暗号化キーがIT部門にあるため、IT部門の助けを借りずにそれを無効にできます。

したがって、ブートローダが実際に署名されておらず、エラーメッセージが間違っていない限り(通常はそうではありません)、私はあなたが所有しているラップトップの「ボス」とは思いません。

しかし、Mintは実際にSecure Bootをサポートする最後の主要ディストリビューションでした(実際にはRedhat、Fedora、SuSe、Ubuntuより10年遅れ、debianより5年後です...)。おそらく、まだすべてが準備されていないので、仕事が何とか壊れているかもしれませんか?正直なところ、私はFedoraインストーラのUSBイメージを試してみましょう。これがうまくいけば、少なくとも不可能ではないことを知っているでしょう。

関連情報