Ох уж эта тупая конспирология...

Secure Boot существует с одной единственной целью с которой оно с горем пополам справляется.
Созданию Secure Boot предшествовали эпидемии специфических вирусов, которые работали по следующему принципу:
1. Вынудить пользователя обманом запустить подставное приложение
2. Обмануть пользователя, попросив ему выдать высокие права и разрешить его везде
3. Приложение портит загрузчик: отключает цифровую подпись модулей ядра или подставляет себя в загрузчик
4. Происходит вымогательство

Эти вирусы крайне глупо сделаны и базируются на необразованности пользователя. Пользователей, которые подцепят такие вирусы нет в Linux, потому что это пользователи Windows Desktop, которые вообще мало понимают как работать с компьютером.

Для защиты от эпидемий вымогательства в EFI-прошивки, помимо унификации способов загрузки был добавлен Secure Boot - средство проверки цифровой подписи кода загрузчика и тех ядер и образов, которые он подгружает. Так и получилась UEFI.

Windows использует сертификаты x.509 и инфраструктуру PKI для заверения драйверов. Оно полностью отключаемое, но сделать это настолько сложно, что пользователь задумается почему нужно перезагружаться для запуска программы и почему пропадает картинка рабочего стола и появляется watermark "Тестовый режим". Это остановило эпидемии руткитов в своё время. Но нет никакого смысла в цифровых подписях если они не форсируются с самого начала.

Secure Boot, по сути, провалился как технология. Он не является высокотехнологичным средством защиты (из-за корявости работы с отзывами сертификатов), но его достаточно, чтобы быть уверенным, что вендоры материнских плат включили его на конечном (несамосборном) оборудовании. Тем самым основная группа уязвимых и неграмотных пользователей защищена. Вирусописатели были вынуждены пересмотреть свои вирусы и начали писать шифровальщики-вымогатели в юзерспейсе. Но это уже другая история...

История с Secure Boot в Linux - полна лжи и конспирологии, а на самом деле кто-то (Linux Foundation) бесполезный кусок бюрократического мусора, который наотрез отказался поддерживать свой центр сертификации.
Задача проста:
1. Создать корневой центр сертификации с публичным доверием
2. Договориться с вендорами оборудовании о поставке сертификата в доверенных корневых прошивки Secure Boot
3. Выполнить условия, которые накладываются на держателей PKI в международном сообществе (гарантии, страховки, возмещения и штрафы при утечке ключей).
4. Выстроить схему взаимодействия дистрибутивов Linux под эгидой Linux Foundation по получению сертификатов.

Теоретически проблема подмены загрузчика и ядра на Linux существовала точно также как и на Windows. На практике никто не писал злонамеренных скриптов, потому что не по кому распространять. Процент неграмотных пользователей Linux слишком низок, чтобы это окупилось вымогательством. В Linux вообще-то и подсистема цифровой подписи модулей существует. Всё можно сделать как в лучших домах, но кто бы этим бы пользовался. В Linux вообще новые подсистемы могут внедряться спустя долгие годы уже после того как они вышли из экспериментального статуса из-за инертности дистрибутивов и низкого образования меинтейнеров.

Linux Foundation и другие общественные организации повели себя очень характерно:
1. Заявили, что весь Secure Boot дискриминирует их Linux
2. Содержать центр сертификации они не хотят, слишком большая ответственность, ведь надо получать донаты и заседать на панелях, а не отвечать по страховым возмещениям в случае потери ключей.
3. Попросили Microsoft содержать отдельную инфраструктуру для Linux.

В итоге Microsoft построил для них отдельный центр сертификации и содержит его за свой счет. Для UEFI у MS 2 ЦС. Один для Windows второй для Linux, потому что Linux-оиды беспомощные жалкие конспирологи, которые не хотят отвечать за свои слова и действия (типа "это опенсорц, тебе тут никто не обязан"), а когда чего-то не могут бегут к крупным корпорация и вопят "запилите нам сертификаты, у нас лапки".

При этом есть все подсистемы и для криптографии и для TPM и framework для цифровых подписей модулей! Это всё давным дано есть в ядре Linux!

> Intel ME/AMD PSP

А это совершенно другая история. Вендоры на базе Minix написали средство оркестрации и удаленного управления оборудованием. Единственное, что там общее с UEFI это то, что оно находится в соседних блоках памяти с прошивкой. Не надо это путать с Secure Boot и UEFI. В мобильных телефонах такую же проприетарную прошивку/ОС имеет модем, который позволяет удаленно управлять устройством. Это удаленное средство контроля, но оно никак не связано с попытками автоматизации подписи кода и проверки бинарников на неподдельность, поэтому не обобщайте.