Дело не в рабах Поттеринга, дело в 10летнем смузихлёбстве на стороне железа, Интел, и я сейчас об UEFI. Почитайте статейку blogs .gnome .org/hughsie/2020/01/27/hunting-uefi-implants/В двух словах, это писано Richard'ом Hughes (github .com/hughsie). Ни кто-нибудь, а мейнтейнер Гнома, и создатель и мейнтейр fwupd в этих вашиз Линуксах (всё что обновляет прошивки, фирмвари) и он на короткой ноге со всеми крупными и даже мелкими вендорами, чтобы они присылали оригинальные прошивы, и строго параноидально следит за сигнатурами всего этого добра.
Дак вот, при всём его знании архитектуры и проблематики, даже у него волосы пошевелились, когда он проходил интенсив у Алекса Мотросова, на тему фирмварь имплантов в UEFI, и есть примеры вредоносных прошивок так глубоко, что некоторые очень сложно обнаружить и даже вылечить.
Это значит, что в некоторых случаях вас может не спасти даже правильно самоподписнная цепочка доверия от Owner Platform Key на TPM, заканчивая модулями ядра (хотя это спасает от 99.9% руткитов). Но 99.9% олдфагов вообще Secure Boot отключают (ненужное не нужно).
Ну вот на интесиве у части группы обнаружили "закладки" на их тревелбуках. При том, что аудитория это далеко не "офисный планктон".
Именно поэтому Apple сделал свой дизайн на харварном уровне, который чекает сигнатуру всего.
И... Хромбуки тоже, у них это всё называется Google Titan (для серверов) и на лэптопах тоже CR-чип, в купе с TPM чекает не только всю цепочку загрузки, но и merckle-tree кусков всего тела операционки.
Сама она тоже затвикана жестко, каждое приложение, даже каждая вкладка браузера в своем cgroups. Отдельно допилиная ими под себя LXD-подсистема, где можно пускать ваш любимый дистр от Арча до Убунты... и о чудо, оно даже интегрируется с граф средеой через Crostini.
Чтобы переставить на Хромбук что-то своё, надо в особом режиме в бутлоад сеансе осознанно перейти на Dev-mode, но образ оригинальной ОСи и всех прошивок все равно останется в ROM, поэтому всегда можно сделать Powerwash обратно с гарантией целостности.
Больше таких потребительских машин, которые "вылечены" от хардварных проблем в UEFI - нет. Простой BIOS - это еще хуже, если что.