So che la domanda è piuttosto ampia perché non sto specificando quale hardware e quale sistema operativo, ma è intenzionale. So che ci dovrebbe essere una radice di verifica della fiducia in hardware (ROM) prima che l'immagine sia attendibile e installata. Ma ci sono altre restrizioni? Voglio dire, la presenza di un'altra periferica / hardware cambia lo scenario?
No. L'avvio sicuro ha lo scopo di fornire una catena di fiducia per il percorso del software. Ad esempio, se si avvia un CD, l'avvio sicuro verificherà che il CD sia firmato.
Ma se si avvia da un hard disk, non c'è bisogno di controllare se il CD è "affidabile" perché il contenuto del CD non è coinvolto nel processo di avvio.
Quando il BIOS ha consegnato il processo di avvio al bootloader (MBR) della prima fase firmato sull'harddrive, è responsabilità del bootloader della prima fase verificare il caricatore della seconda fase, che è stato firmato. E così via, la seconda fase verificherà che i kernel e i driver di avvio siano firmati e, all'avvio del sistema operativo principale, il sistema operativo principale verificherà altri componenti.
Se l'hardware aggiunto fa sì che il computer selezioni un altro percorso di avvio, ad esempio un'unità PCIe aggiuntiva o simile, e questo percorso di avvio contenga dati che non convalidano la convalida della firma, ovviamente l'avvio sicuro avrà esito negativo.
È stato possibile aggiungere hardware come tastiera o simili impostando i criteri nel sistema operativo principale. Poiché nessun input chiave è accettato fino a quando il sistema operativo principale non viene avviato comunque, il computer sarà sicuro. L'unica eccezione è il prompt del BIOS, ma che può essere protetto con una password.