При загрузке с USB-накопителей, созданных в Ventoy, некоторых дистрибутивов Linux и других образов, использующих Shim и GRUB, а в некоторых случаях и при загрузке основной ОС пользователи могут получить сообщение об ошибке «Verification failed 0x1A Security Violation».
В этой инструкции о том, чем вызвана такая ошибка и способах её исправить, если вы с ней столкнулись.
Причины ошибки
В своей основе причина ошибки «Verification failed 0x1A Security Violation» — включенная опция безопасной загрузки Secure Boot в UEFI и попытка запуска загрузчика, не подписанного доверенным ключом. Детально весь процесс состоит из следующих шагов:
- БИОС (UEFI) загружает и пропускает Shim, если бы этого не происходило, и загрузка блокировалась, вы бы увидели другое сообщение — стандартное «Secure Boot Violation» от UEFI.
- Shim, в свою очередь пытается запустить основной загрузчик Ventoy или какого-либо дистрибутива. Обычно — GRUB, который, в свою очередь не подписан доверенным ключом.
- Из-за включённой опции Secure Boot, Shim обязан серить подпись загрузчика с базой (db) доверенных подписей в UEFI, совпадений не находится и возвращается ошибка UEFI API: EFI_SECURITY_VIOLATION, которая приводит к появлению рассматриваемого сообщения для пользователя.
В некоторых случаях ошибка может появиться «спонтанно» для тех образов, дистрибутивов и установленных ОС, для которых ранее всё работало исправно.
Возможные причины появления ошибки, если ранее всё работало исправно:
- Сброс или обновление БИОС/UEFI и отзыв ранее доверенных сертификатов безопасной загрузки или очистка MOK (Machine Owner Key) из UEFI, либо автоматическое переключение опции Secure Boot во включённое состояние.
- В случае нескольких ОС на компьютере обновления Windows могут добавить определенные сертификаты в базу dbx (запрещённых к загрузке) в UEFI (пример — обновление KB5041160), что сломает загрузку меню GRUB или Linux, которая уже установлена на компьютере с тем же сообщением об ошибке, при этом по пункту меню «Continue boot» может исправно загружаться ранее установленная ОС Windows.
- Предыдущий пункт также может повлиять на загрузку старых дистрибутивов на системе, где ранее их загрузка исправно работала: например, то же обновление привело к появлению ошибок при загрузке с оригинальных дистрибутивов Ubuntu предыдущих (на момент выхода обновлений) версий.
Варианты решения
Если вы столкнулись с ошибкой «Verification failed 0x1A Security Violation», есть следующие варианты решения:
- Для загрузочной флешки Ventoy: выберите OK — Enroll key from disk — VTOYEFI — ENROLL_THIS_KEY_IN_MOKMANAGER.cer и подтвердите добавление. Это добавит сертификат в хранилище MOK (Machine Owner Key) и следующая загрузка произойдёт без ошибок. Подробнее — в статье Ventoy и загрузка с Secure Boot.
- Для других образов — либо отключение Secure Boot в UEFI, либо обновление дистрибутивов до актуальных версий (например, в случае со старыми Ubuntu и другими дистрибутивами). Для некоторых образов возможно использование того же метода, что описан в 1-м пункте: информацию о наличии ключей для загрузки в MOK и их расположении можно найти в справке/документации к соответствующему дистрибутиву.
Надеюсь, материал помог разобраться с проблемой. Если же вопросы остаются, вы можете задать их в комментариях ниже.
