Ошибка появляется, когда в UEFI включён Secure Boot, а загрузчик (обычно GRUB, вызываемый через Shim или Ventoy) не подписан доверенным ключом. Secure Boot проверяет подпись, не находит её в базе db и возвращает код EFI_SECURITY_VIOLATION.
Почему она может возникнуть "внезапно"
| Причина | Как проявляется |
|---|---|
| Обновление BIOS/UEFI - очистка ранее добавленных сертификатов или включение Secure Boot | прежние USB‑диски и Linux‑дистрибутивы перестают загружаться |
Обновление Windows (например KB5041160) - добавление сертификатов в dbx (список запрещённых) |
старые версии Ubuntu, Debian и т.п. получают то же сообщение, в то время как Windows загружается через пункт Continue boot |
Как избавиться от ошибки
- Для флешек Ventoy
- При появлении сообщения нажмите OK → Enroll key from disk → VTOYEFI → ENROLL_THIS_KEY_IN_MOKMANAGER.cer.
- Ключ будет записан в хранилище MOK (Machine Owner Key), и следующая загрузка пройдёт без проблем.
- Для остальных образов
- Отключить Secure Boot в настройках UEFI - простой способ, особенно если вы часто меняете дистрибутивы.
- Обновить дистрибутив до версии, подписанной современными ключами (например, новые релизы Ubuntu, Fedora).
- При необходимости добавить собственный ключ в MOK, следуйте инструкциям дистрибутива (обычно в разделе "Secure Boot" документации).
Если после этих действий проблема остаётся, проверьте, не вернулось ли обновление BIOS/UEFI, и повторите процесс enrolment или отключения Secure Boot.