История изменений

Ну это уже другая проблема. Вообще есть ещё пара приёмов включающих в себя TPM:

1. Шифрование прибивается к TPM. Изменение в UEFI/загрузчике приводит к изменению регистров TPM и диск начинает требовать пароль на загрузке.
2. Использовать 2fa, для параноиков. На основе состояния TPM, зависящего от состояния всей цепи загрузки, компьютер показывает тебе одноразовый код, ты на устройстве/приложении сверяешь код с тем что должно быть.

Естественно подразумевается что в момент когда ты SecureBoot включаешь - то система ещё нормальная и что никто не сможет или не будет тебе весь UEFI подменять на похаченый. Для последнего кстати нужны ключи M$.

Ну это уже другая проблема. Вообще есть ещё пара приёмов включающих в себя TPM:

1. Шифрование прибивается к TPM. Изменение в UEFI/загрузчике приводит к изменению регистров TPM и диск начинает требовать пароль на загрузке.
2. Использовать 2fa, для параноиков. На основе состояния TPM, зависящего от состояния всей цепи загрузки, компьютер показывает тебе одноразовый код, ты на устройстве/приложении сверяешь код с тем что должно быть. Естественно подразумевается что в момент когда ты SecureBoot включаешь - то система ещё нормальная и что никто не сможет или не будет тебе весь UEFI подменять на похаченый. Для последнего кстати нужны ключи M$.