I’m trying to install Ubuntu 22.04.1 via a USB drive, but when I want to boot the USB drive when the secure boot is enabled, I get the error Verification failed:(0x1A) Security Violation.
I need the secure boot to be enabled. Back then, I had no problems doing so. I recently used the command mokutil --reset to clear the machine owner keys because there were a lot of them and I wanted to make things cleaner.
I also tried to add mmx64.efi and grubx64.efi to the trusted files in BIOS, but I got another error (i.e., shim_lock protocol not found). I was not doing anything special related to secure boot to boot my USB drive before (even when I installed my first Linux distro). Why can’t I do that now?
asked Feb 24 at 5:20
2
This is an excerpt from this answer that I just wrote.
What happened here is that Canonical updated their UEFI Secure Boot signing key and your system’s Secure Boot Advanced Targeting variable. In plain terms, they made it so that newer boot files they release are bootable, and older ones aren’t. If you got the update and then try to boot an OS that is still using the older files, it won’t work and you get a Security Violation error.
Normally the solution here is to update your installation so that you have newer boot files. In this instance, though, you’re trying to install from an ISO that has the older boot files. So you can’t update the boot files. You have two choices here.
- Disable Secure Boot and leave it that way.
- Disable Secure Boot, boot the 22.04.1 ISO, install, update, and then enable Secure Boot again.
Sadly, both solutions require that you disable Secure Boot at least temporarily.
answered Feb 27 at 2:07
ArrayBolt3ArrayBolt3
2,8278 silver badges30 bronze badges
If you are using Ventoy, the solution is in the official documentation (also mentioned on this issue).
Press OK, Press any key to perform MOK management, Enroll key from disk, VTOYEFI, ENROLL_THIS_KEY_IN_MOKMANAGER.cer, Continue, Yes, Reboot.
answered Jul 4 at 1:23
Pablo BianchiPablo Bianchi
14.5k4 gold badges75 silver badges117 bronze badges
Downloading and booting from the 22.04.2 version solved the problem for me.
answered Feb 27 at 1:32
Ali SafapourAli Safapour
1111 gold badge1 silver badge6 bronze badges
It’s possible that the Ubuntu image you downloaded and wrote to the USB drive is not signed with a key that is trusted by the Secure Boot feature of your computer’s bios. This could be because the image is unsigned, or because the key used to sign the image is not in the list of trusted keys in your computer’s bios.
You must use a bootloader that is signed with a key that is trusted by bios. This will allow the system to verify the digital signature of the bootloader, and load it without triggering the security violation error.
answered Feb 24 at 11:13
MarcoMarco
1591 silver badge5 bronze badges
1
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.
Появился у меня на руках ноутбук HP 15-bs039ur. Так себе ноутбук, но для моих нужд его хватает. Решил я переустановить Windows, и столкнулся с проблемой установки ОС с загрузочной флешки. Флешка была подготовлена в программе Ventoy, она мне показалась удобней чем Rufus.
Чтобы открыть программу настройки BIOS, несколько раз нажать клавишу F10. Можно также нажать клавишу Esc, чтобы получить доступ к различным параметрам, доступным при загрузке, включая программу настройки компьютера. Чтобы попасть в меню выбора загрузки нужно нажать F9.
 |
| Окно выбора источника закрузки. |
Я выбрал загрузочную флешку и получил сообщение «verification failed 0x1a security violation».
 |
| Сообщение «verification failed 0x1a security violation» |
Тут говориться что на ноутбуке установлена функция Secure Boot (безопасная загрузка), отвечающую за безопасную загрузку системы, защита проверяющую сигнатуру загрузчика ОС и не позволяющая загружать ОС, отсутствующую в списке. На деле это означает, что кроме предуставновленой ОС ничего загрузить не удаётся.
Я изначально зашёл в BIOS и отключил Security Boot и что-то там ещё, и это не помогло. После перезагрузки ноутбука, в биосе значение «disable» которое я ставил, переводилось в «enable» что не позволяло использовать внешний загрузчик.
Можно было не заморачиваться и переустановить Windows с внутреннего жёсткого диска, но было требование сохранить все данные которые там есть. Переносить систему не получалось и не хотелось, т.к. данных на внутреннем диске было больше чем объём на новом SSD.
В итоге мне помог сайт Ventoy. Они уже знали о этой ситуации и добавили все необходимые файлы в свою сборку 1.0.76 и выше.
 |
| Скринш от страницы Ventoy с автопереводом. |
Проделал операции по их инструкции и всё заработало. Единственное я не понял, там есть два способа «Enroll key» и «Enroll hash», какой в каком случае используется? Я использовал оба 
boot fails with with ‘Verification failed: (0x1A) Security Violation’
This document (000021080) is provided subject to the disclaimer at the end of this document.
Environment
SUSE Linux Enterprise Server 15 SP4
Situation
Trying to install SLES15 SP4 on systems with an existing OS, with shim version 15.7 or later, and UEFI secure boot enabled in the BIOS, booting fails with an error message ‘Verification failed: (0x1A) Security Violation’ on the console.
Resolution
Use the SLES15 SP4 latest Quarterly Update (QU3) ISO with a newer grub2/mokutil version to install SLES15 SP4 when the issue occurs.
The «SLE-15-SP4-Full-x86_64-QU3-Media1.iso» is available for download in the SUSE Customer Center (Products, Installation Media)
Cause
The behavior is expected.
Shim version 15.7 or later blocks grub versions which have their .sbat section set to 1.
The scenario may occur when a security vulnerability is discovered.
For more information, please refer to UEFI shim bootloader secure boot life-cycle improvements [https://github.com/rhboot/shim/blob/main/SBAT.md ]
Disclaimer
This Support Knowledgebase provides a valuable tool for SUSE customers and parties interested in our products and solutions to acquire information, ideas and learn from one another. Materials are provided for informational, personal or non-commercial use within your organization and are presented «AS IS» WITHOUT WARRANTY OF ANY KIND.
- Document ID:000021080
- Creation Date:
19-May-2023 - Modified Date:19-May-2023
-
- SUSE Linux Enterprise Server
< Back to Support Search
For questions or concerns with the SUSE Knowledgebase please contact: tidfeedback[at]suse.com
-
Newbie
- Join Date: Mar 2023
- Posts: 7
- Send PM
Hi,
I have recently downloaded and installed Kubuntu 22.04.2 (verified SHA256) for testing on my Dell OptiPlex PC. Everything worked well as planned which is great. However, when I went to reinstall my main OS, Linux Mint 21.1, back to the same PC, I get a blue screen ERROR Verification failed: (0x1A) Security Violation message.
Upon researching, it seems that Kubuntu’s latest version has some updated security keys that install to the BIOS.
Now, everything that I have used in the past ((Linux Mint 21.1 and Clonezilla) no longer works and just gives the error message.
Is there a way to revert back to the old security keys, or are they forever gone? Will I have to wait for my other distros to update their ISO’s?
Thanks in advance,
Darryl
-
Ascendant
- Join Date: Mar 2007
- Posts: 22349
- Location: Andover, MN
- Send PM
No OS, not even Windows, writes anything to a PCs BIOS.
Using Kubuntu Linux since March 23, 2007
«It is a capital mistake to theorize before one has data.» — Sherlock Holmes
- Top
- Bottom
Comment
-
Originally posted by Snowhog
View Post
No OS, not even Windows, writes anything to a PCs BIOS.
Not quite true, they can set the default boot order, this is how Windows can hijack this, and reset itself as the first bott OS after an update. Also efibootmgr in linux, either from an OS intstall, or just to make changes on the cli, and for System Settings option to «After next restart Enter EFI setup screen», i.e the ‘BIOS’.
Also, this IS at least partially an Ubuntu bug
One explanation
https://askubuntu.com/questions/1456…456904#1456904
Your post in the Mint forums already has all this info, though.Try disabling secure boot, see if there are options to clear any keys or authentication in your bios
Or just leave secure boot disabled, for now at least.This just popped up, but the only reports I see on the web are mostly yours lol.
- Top
- Bottom
-
Likes
1
Comment
-
Newbie
- Join Date: Mar 2023
- Posts: 7
- Send PM
Thanks for your replies.
I have disabled secure boot and installed Linux Mint with no issue. Once there, I used mokutil to clear any keys, but this didn’t fix the issue. Still getting the Verification failed message when secure boot is re-enabled and the Mint installer is run. I also looked at the Dell BIOS menu, and reset everything there too and still no change.
I feel I may just have to wait until the distros update their ISOs to be inline with the latest changes to match the current configuration. Maybe it’s just something I have to accept and move forward. However, I will keep researching, because I feel this is very strange.
Thanks again and any further input will be extremely helpful.
Darryl
- Top
- Bottom
Comment
Это выдержка из этого ответа , который я только что написал.
Здесь произошло то, что Canonical обновила свой ключ подписи UEFI Secure Boot и переменную Secure Boot Advanced Targeting вашей системы. Проще говоря, они сделали так, что новые загрузочные файлы, которые они выпускают, являются загрузочными, а старые — нет. Если вы получили обновление, а затем попытаетесь загрузить ОС, которая все еще использует старые файлы, это не сработает, и вы получите сообщение об ошибке нарушения безопасности.
Обычно решение здесь состоит в том, чтобы обновить вашу установку, чтобы у вас были более новые загрузочные файлы. Однако в этом случае вы пытаетесь установить из ISO-образа, который содержит более старые загрузочные файлы. Таким образом, вы не можете обновить загрузочные файлы. Здесь у вас есть два варианта.
- Отключите безопасную загрузку и оставьте так.
- Отключите безопасную загрузку, загрузите ISO-образ 22.04.1, установите, обновите и снова включите безопасную загрузку.
К сожалению, оба решения требуют, чтобы вы хотя бы временно отключили безопасную загрузку.