Found no appropriate topic – sorry.
The Story:
New PC, Mainboard GigaByte Aorus Elite AX v1.2 .
(No problems using some ASUS Boards yet )
Installed GNOME in EFI Mode. Runs really well…
But journald displays these errors:
Seems to be a BIOS Problem, found I had to remove
two entries in the secure boot section of the Bios.
These messages are harmless and only say that Linux
“the roast doesn’t taste good”.
SecureBoot is disabled and not running, CSM is disabled…
In my experience this is indeed secure boot related. You can either try to update the dbx with gnome-firmware, or reset the secure boot. On my machine it disappeared after i reset secure boot to factory settings.
But not on my machine.
After reset in (latest) BIOS I did this:
fwupdmgr get-devices
Summary
Gigabyte Technology Co., Ltd. B650 AORUS ELITE AX
│
├─GIGABYTE:
│ Gerätekennung: 6924110cde4fa051bfdc600a60620dc7aa9d3c6a
│ Zusammenfassung: UEFI Platform Key
│ Aktuelle Version: 2023
│ Anbieter: Unknown
│ GUID: 5cc35aba-c97c-56a6-a5e9-28371aa1e47c ← UEFI\CRT_84C928EADE77149A64A3000E431757DC6EF5D390
│ Geräte-Bitschalter: • Internes Gerät
│
├─HDWT720:
│ Gerätekennung: f8eb9be334ab40a88c9ec1d2472a74e77f7149c0
│ Zusammenfassung: ATA drive
│ Aktuelle Version: KP0H2R
│ Anbieter: Toshiba (ATA:0x1179, OUI:000039)
│ Seriennummer: 85T3S433SRGL
│ GUIDs: c111c802-0e0e-5223-b3d7-b20de5952cf8 ← IDE\TOSHIBA_HDWT720_________________________KP0H2R
│ 891b84bd-fd61-520f-9d02-908a9333ad38 ← IDE\0TOSHIBA_HDWT720_________________________
│ 7463c4d7-4b40-50e5-aff6-6677aca1ebfe ← TOSHIBA HDWT720
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • System benötigt externe Stromquelle
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ • Kann für die Emulation markieren
│
├─Radeon RX 6500 XT:
│ Gerätekennung: 594baa45f6742120d71dd82166e762f1529c2a8a
│ Zusammenfassung: NAVI24 D63201 XT A0 4GB G6 500e/1125m
│ Aktuelle Version: L04
│ Anbieter: AMD (PCI:0x1002)
│ GUID: 87a73f55-c743-5f60-91e8-e8b4bafb6a55 ← AMD\113-EXT800
│ Geräte-Bitschalter: • Internes Gerät
│ • Kryptografische Hash-Verifizierung ist verfügbar
│ • Kann für die Emulation markieren
│
├─Ryzen 5 7500F 6-Core Processor:
│ │ Gerätekennung: 4bde70ba4e39b28f9eab1628f9dd6e6244c03027
│ │ Aktuelle Version: 0x0a60120c
│ │ Anbieter: AMD
│ │ GUIDs: 16dd7d28-eade-5077-adb8-0775fdfbb2e5 ← CPUID\PRO_0&FAM_19&MOD_61
│ │ 6c9f4098-a058-5cd6-a1ce-36bfe27404fb ← CPUID\PRO_0&FAM_19&MOD_61&STP_2
│ │ Geräte-Bitschalter: • Internes Gerät
│ │
│ └─Secure Processor:
│ Gerätekennung: c54ab0237d7a8db8c717b68e0be78e4374a2a079
│ Zusammenfassung: AGESA ComboAm5PI 1.2.0.3g
│ Aktuelle Version: 00.42.00.1e
│ Bootloader-Version: 00.42.00.1e
│ Anbieter: AMD (PCI:0x1022)
│ GUID: 9844da3e-1df2-52fe-9413-d4378af6221e ← PCI\VEN_1022&DEV_1649
│ Geräte-Bitschalter: • Internes Gerät
│ • Kann für die Emulation markieren
│
├─SSD 980 PRO 500GB:
│ Gerätekennung: 04e17fcf7d3de91da49a163ffe4907855c3648be
│ Zusammenfassung: NVM Express solid state drive
│ Aktuelle Version: 5B2QGXA7
│ Anbieter: Samsung (PCI:0x144D)
│ Seriennummer: S5GYNF0RA13191H
│ GUIDs: bec63ed7-a95f-54fe-b8cc-8e9fee64ba5a ← NVME\VEN_144D&DEV_A80A
│ 310f81b5-6fce-501e-acfb-487d10501e78 ← NVME\VEN_144D&DEV_A80A&SUBSYS_144DA801
│ 8a8a137f-391f-5aae-a739-5ee792af145d ← Samsung SSD 980 PRO 500GB
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • System benötigt externe Stromquelle
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ • Signierte Nutzdaten
│ • Kann für die Emulation markieren
│
├─TPM:
│ Gerätekennung: 1d8d50a4dbc65618f5c399c2ae827b632b3ccc11
│ Aktuelle Version: 6.32.0.6
│ Anbieter: AMD (TPM:AMD)
│ GUIDs: 9305de1c-1e12-5665-81c4-37f8e51219b8 ← TPM\VEN_AMD&DEV_0001
│ 78a291ae-b499-5b0f-8f1d-74e1fefd0b1c ← TPM\VEN_AMD&MOD_AMD
│ 65a3fced-b423-563f-8098-bf5c329fc063 ← TPM\VEN_AMD&DEV_0001&VER_2.0
│ 5e704f0d-83cb-5364-8384-f46d725a23b8 ← TPM\VEN_AMD&MOD_AMD&VER_2.0
│ Geräte-Bitschalter: • Internes Gerät
│ • System benötigt externe Stromquelle
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät kann sich nach Fehlern beim Aufspielen wiederherstellen
│ • Signierte Nutzdaten
│ • Kann für die Emulation markieren
│
├─UEFI Device Firmware:
│ Gerätekennung: 8fc9414ee1b271cc8742ce1b244b9c238e6713b0
│ Zusammenfassung: UEFI System Resource Table device (updated via NVRAM)
│ Aktuelle Version: 335806492
│ Anbieter: DMI:American Megatrends International, LLC.
│ Aktualisierungsstatus: Erfolg
│ GUID: f766f6e6-b43d-4acd-a4bd-80ff2f0af5cc
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • System benötigt externe Stromquelle
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ Geräteanfragen: • Mitteilung
│
├─UEFI Device Firmware:
│ Gerätekennung: e6d62239c872f1c5f496a167fafcae04c48f377b
│ Zusammenfassung: UEFI System Resource Table device (updated via NVRAM)
│ Aktuelle Version: 196864
│ Anbieter: DMI:American Megatrends International, LLC.
│ Aktualisierungsstatus: Erfolg
│ GUID: f5536e63-e4c0-4e0d-84d4-e8e152b1ba65
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • System benötigt externe Stromquelle
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ Geräteanfragen: • Mitteilung
│
├─UEFI Key Exchange Key:
│ │ Gerätekennung: 2a4c23bfb79b5dabe474cb7b1b3e604645d6f9c6
│ │ Geräte-Bitschalter: • Internes Gerät
│ │
│ ├─GIGABYTE:
│ │ Gerätekennung: 270d8545b9d737fc201ea763bce6cbf310093a9f
│ │ Aktuelle Version: 2023
│ │ Aktualisierungsfehler: No vendor ID set
│ │ GUID: a8048e4d-1286-5f3f-a3c7-cd7fed322323 ← UEFI\CRT_136A276BEEC8A622D8C9A55DB40A8FC6C5A87329
│ │ Geräte-Bitschalter: • Internes Gerät
│ │ • Benötigt einen Neustart nach der Installation
│ │ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ │ • Aktualisierbar
│ │ • Signierte Nutzdaten
│ │ • Kann für die Emulation markieren
│ │
│ └─KEK CA:
│ Gerätekennung: b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7
│ Aktuelle Version: 2023
│ Anbieter: Microsoft (UEFI:Microsoft)
│ GUIDs: 814e950f-1449-566a-a190-42c9d3a3a2df ← UEFI\VENDOR_Microsoft&NAME_Microsoft-KEK-CA
│ cd94ec34-7163-5f27-8549-1bd4b7872ae8 ← UEFI\CRT_DEC64D7746D983DB3774829A00BF829D9F19E9CF
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ • Signierte Nutzdaten
│ • Kann für die Emulation markieren
│
├─UEFI Signature Database:
│ │ Gerätekennung: 0352a8acc949c7df21fec16e566ba9a74e797a97
│ │ Geräte-Bitschalter: • Internes Gerät
│ │
│ ├─GIGABYTE:
│ │ Gerätekennung: 9846ded5bff31ca8c4260af8327919d939484bc3
│ │ Aktuelle Version: 2023
│ │ Aktualisierungsfehler: No vendor ID set
│ │ GUID: e851f955-58ee-578e-b2d6-06b8b1ec59c0 ← UEFI\CRT_3B0E79385516792F20EFD2637C2645C3829394E8
│ │ Geräte-Bitschalter: • Internes Gerät
│ │ • Benötigt einen Neustart nach der Installation
│ │ • Aktualisierbar
│ │ • Signierte Nutzdaten
│ │ • Kann für die Emulation markieren
│ │
│ ├─UEFI CA:
│ │ Gerätekennung: 5bc922b7bd1adb5b6f99592611404036bd9f42d0
│ │ Aktuelle Version: 2011
│ │ Anbieter: Microsoft (UEFI:Microsoft)
│ │ GUIDs: 26f42cba-9bf6-5365-802b-e250eb757e96 ← UEFI\VENDOR_Microsoft&NAME_Microsoft-UEFI-CA
│ │ c34a7e6a-bd86-5244-8bd0-7db66fd3c073 ← UEFI\CRT_E30CF09DABEAB32A6E3B07A7135245DE05FFB658
│ │ Geräte-Bitschalter: • Internes Gerät
│ │ • Aktualisierbar
│ │ • Unterstützt auf dem entfernten Server
│ │ • Benötigt einen Neustart nach der Installation
│ │ • Signierte Nutzdaten
│ │ • Kann für die Emulation markieren
│ │
│ └─Windows UEFI CA:
│ Gerätekennung: d31da5f926c6d962ed810b284fab5a2ef623007b
│ Aktuelle Version: 2023
│ Anbieter: Microsoft (UEFI:Microsoft)
│ GUIDs: 914015a8-9d92-5462-9a9b-f2b361e4faae ← UEFI\VENDOR_Microsoft&NAME_Windows-UEFI-CA
│ 89a825bf-78b5-5f1c-905b-e982b2f02584 ← UEFI\CRT_A794240D25F0CCB2EC8142DC2F7411890717DEAD
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • Benötigt einen Neustart nach der Installation
│ • Signierte Nutzdaten
│ • Kann für die Emulation markieren
│
├─UEFI dbx:
│ Gerätekennung: 362301da643102b9f38477387e2193e57abaa590
│ Zusammenfassung: UEFI revocation database
│ Aktuelle Version: 20160809
│ Minimale Version: 20160809
│ Anbieter: Microsoft (UEFI:Microsoft)
│ Installationsdauer: 1 Sekunde
│ GUIDs: d07ff664-b0e1-5f4e-a723-d7fbcbfcb94f ← UEFI\CRT_3CD3F0309EDAE228767A976DD40D9F4AFFC4FBD5218F2E8CC3C9DD97E8AC6F9D&ARCH_X64
│ f8ba2887-9411-5c36-9cee-88995bb39731 ← UEFI\CRT_A1117F516A32CEFCBA3F2D1ACE10A87972FD6BBE8FE0D0B996E09E65D802A503&ARCH_X64
│ b621f4ef-160a-5139-9fb1-6e89d03cc8db ← UEFI\CRT_81CAE10B24C40F687D7E695BBCFA02AF635148588B35712A25C2FCDA16DC776C&ARCH_X64
│ Geräte-Bitschalter: • Internes Gerät
│ • Aktualisierbar
│ • Unterstützt auf dem entfernten Server
│ • Benötigt einen Neustart nach der Installation
│ • Das Gerät ist während der Dauer der Aktualisierung nutzbar
│ • Nur Versionsaktualisierungen sind erlaubt
│ • Signierte Nutzdaten
│ • Kann für die Emulation markieren
│
└─WDS100T2B0A-00SM50:
Gerätekennung: 0efbea4ed853d166f0b60bcb4de46b85601f1985
Zusammenfassung: ATA drive
Aktuelle Version: 415020WD
Anbieter: Western Digital (OUI:001b44, ATA:0x101C)
Seriennummer: 21335K463711
GUIDs: f6810b7f-addb-54f7-9977-72a2c245c240 ← IDE\WDC__WDS100T2B0A-00SM50_________________415020WD
2268a855-fa4f-5b51-b81a-b83c40a2faab ← IDE\0WDC__WDS100T2B0A-00SM50_________________
c76e4fb7-b99c-5a7a-8984-2e4549600712 ← WDC WDS100T2B0A-00SM50
Geräte-Bitschalter: • Internes Gerät
• Aktualisierbar
• System benötigt externe Stromquelle
• Benötigt einen Neustart nach der Installation
• Das Gerät ist während der Dauer der Aktualisierung nutzbar
• Kann für die Emulation markieren
────────────────────────────────────────────────
Summary
fwupdmgr upgrade
Nicht korrekt aktualisierte Geräte:
• UEFI CA (2011 → 2023)
• UEFI dbx (20160809 → 20250902)
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
╔══════════════════════════════════════════════════════════════════════════════╗
║ UEFI CA von 2011 auf 2023 aktualisieren? ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the 3rd Party UEFI Signature Database (the “db”) to the latest ║
║ release from Microsoft. It also adds the latest OptionROM UEFI Signature ║
║ Database update. ║
║ ║
║ UEFI CA und alle angeschlossenen Geräte sind während der Aktualisierung ║
║ möglicherweise nicht nutzbar. ║
╚══════════════════════════════════════════════════════════════════════════════╝
(fwupdmgr:17838): Fwupd-DEBUG: 09:33:57.932: emitting ::status-changed() [idle]
╔══════════════════════════════════════════════════════════════════════════════╗
║ UEFI dbx von 20160809 auf 20250902 aktualisieren? ║
╠══════════════════════════════════════════════════════════════════════════════╣
║ This updates the list of forbidden signatures (the “dbx”) to the latest ║
║ release from Microsoft. ║
║ ║
║ Some insecure versions of the IGEL bootloader were added, due to a security ║
║ vulnerability that allowed an attacker to bypass UEFI Secure Boot. ║
║ ║
╚══════════════════════════════════════════════════════════════════════════════╝
And after reboot: nothing changed…
The PC was tested by the assembler using a Windoofs NVMe.
No Windoofs will be installed on this machine. Never…
Just to be precise: i didn’t mean bios reset, but specifically secure boot reset. In my bios there are actually 2 options in this menu: reset and “put in setup mode” (which i didn’t try since the first one worked).
Otherwise…just ignore it.
P.s. this error appeared after i had ubuntu whit its shim and certificate installed. And that is why i wanted to reset, since i wanted to delete the Ubuntu certificate as the last remnant of that OS.
I did secure boot reset in setup mode.
Post before “Verdrückt ausgekehrt”, sorry…
Well, so I should ignore the error/warning or delete Windoofs certificate as the last remain…
EDIT:
Deleted this two keys in BIOS/secure boot
Nothing changed.
What error -22 means
-22 is the negative numeric form of the errno value EINVAL
used inside the kernel and many drivers.
It indicates that a function, system call, or driver received parameters it considers invalid,
such as a bad option, unsupported value, or malformed data.
In my opinion, this is normal behaviour, not an error. Whether Secure Boot is active or not doesn’t matter. The keys are always imported. If no certificates are available, the invalid argument error (-22) is reported, regardless of whether Secure Boot is enabled. The important thing is whether Secure Boot can be used.
If you ask me, it is good that the kernel does not trust Microsoft and Ubuntu (in my case) certificates.
The common denominator for pretty much everybody i guess will be the Microsoft 2023 certificate, which comes as an update for most of us over the built in 2011 version (unless someone has a veeery fresh hardware).
This link solved the “annoyance”:
I had deleted the wrong keys (!!!) from Bios in the Secure Boot Section.
Not the Microsuff, but the GIGABYTE certificates were the cause of
the normal behavior, as megavolt said.
Well i guess the symptoms and solutions differ a bit between board and firmware manufacturers. Cause i never had a gigabyte cert, and since my firmware does not show me a selection to delete a particular certificate the only way is resetting it which deletes them all (the new ones).
But it is good we now understand the principle and the core of the problem.
Well, on Gigabyte Bios the Requester for “Delete” has Yes and No…
If you choose “No”, this leads the menu to delete one (selectable) entry.
Tricky, indeed.
Until I read the notice on the screen – “No” does not mean “Abort” in this case
