Hallo mickpf,
mickpf schrieb:
Nein, die Lösung des Problems lautet: Die Font-Dateien müssen signiert werden,
Theoretisch stimmt das zwar, aber praktisch bräuchte es zur Laufzeit von Shim und Grub dann auch noch eine Routine, die die Signatur der .pf2-Datei prüft und die gibt es offenbar (zur Zeit) nicht. Siehe z.B.:
https://lists.gnu.org/archive/html/help-grub/2023-02/msg00002.html
Die Lösung lautet daher, die Fontdatei in das GRUB-EFI-Image - also die grubx64.efi - zu packen und das dann mittels sbsign zu signieren. Das geht zwar grundsätzlich mittels grub-mkstandalone, allerdings muss man sich bei Einschlagen dieses Weges dann um das ganze Grub-Image signieren fortan selber kümmern.
Da stellt sich die Frage, ob es den Aufwand wert ist, zumal unter Ubuntu standardmäßig der Secure Boot Prozess löchrig ist, weil die initrd nicht geprüft wird.
Bliebe nur noch der Anwendungsfall, dass Du Secure Boot aktiv lassen möchtest, weil Du neben Ubuntu noch Windows nutzt. Dann kannst Du Secure Boot selektiv nur für Ubuntu bzw. alles was hinter Shim liegt deaktivieren, indem Du folgenden Befehl ausführst:
sudo mokutil --disable-validation
LG,
Newubunti
