>> 2) По дефолту встроены ключи всяких микросаксов.
> Они удаляются

Точнее, это блоб наружу рассказывает что оно удаляется. Что он там по факту делает - а кто его там знает? Доверять куску блоба в самом критичном месте - не умное занятие.

>> 3) То что оно и правда удалило все лишнее и будет вести себя культурно - в
>> блобе джентльменам придется верить на слово.
> Если у тебя есть поддержка coreboot (А она должна быть, если ты на самом деле
> опасаешься закладок), то coreboot также имеет возможность проверять подписи.

Во первых это довольно большое если - какой процент железок коребут поддерживает? Во вторых, либребут и проч появились потому что коребут фуфло гонит и прогнулся под блобмейкеров с их AGESA и FSP. И вот какие гарантии что в этом счастье бэкдоров нет - опять же вопрос.

В итоге получается сложно, хреново и - никто ничего никому не гарантирует. А если совсем вырубить ME не дав ему плюшку, он систему зашатдаунит через полчаса вообще.

> Так то если подумать, то это всё не так уж и полезно,
> если ноут украдут то надёжнее будет иметь полное шифрование диска с
> требованием ввода пароля при каждом запуске

ИМХО если ноут украдут, стебнее всего это иметь GPS-ресивер зацепленый к МК и сотовому модему. Чтобы найти ассет и обеспечить проблем незадачливому несунишке. А если совсем не получается, саботировать работу железки в хламину.

> Однако лишняя защита от возможности того, что у тебя в EFI разделе
> оказались какие-то не те бинарники (Как они туда могут попасть -
> другой вопрос) всё же должна быть, и secure boot тут достаточен.

Как по мне так он сам по себе почти бэкдор и кусок проблем. Во всяком случае в исполнении Wintel'я, из них защитники кого-то от проблем - как из крышевателя ларьков. Видал я таких защитников.