> Boot Guard и Secure Boot решают разные задачи, да и на десктопных
> платах часто можно прошить собственные настройки Boot Guard.

Это как? Насколько я помню, мастерключ однократно шьется в фузы. И кто первый встал, того и тапки. Ну да, в лучшем случае он не прописан - и теоретически конечно можно свой тогда вписать.

Но
1) А софт для этого есть?
2) Это всего 1 выстрел. И если он мимо, тогда наступает вообще совсем упс. Фузы вроде как однократные.
3) Есть еще всякие прелести типа ME, у которых тоже есть свой мастерключ. И таки вот он точно прописан - и таки он интеловский. Поэтому интел всегда может включить режим бога и подписать процыку умеющему DMA все что сочтет нужно. А при этом ваши потуги в безопасности уже как-то и не решают особо. Конечно есть полунедоспособы типа-шатдауна гаденыша, но я например даже просто дампа его бутрома не встречал, не говоря про анализ оного.
4) Ну и в целом доверять платформе с вот именно такой структурой как-то очень так себе. С одной стороны себе буты делать криво и стремно, с другой - удобно каким-то мутным левым козлам, половина которых вообще вписывает более мощные чем ваши ключи и никого не спрашивает можно ли им.

> А главное кольцо находится в руках производителя железа с тех пор, как в домашних
> условиях стало невозможно валидировать процессор.

А вот это совершенно не обязательно.
1) Есть куча процыков где именно мастеркей в фузах с фабы таки не прописан и в большинстве железок они именно пустые.
2) Есть методы секурбута не завязанные на ключах. Например readonly начальный загрузчик, который далее чекает остальное по цепочке. При этом root of trust переносится на 1 уровень вверх, а readonly обеспечивает его неизменность как минимум ремотными атакующими. А если кто может у меня железку спереть для физического доступа, они и много чего еще могут, от чего секурбут не очень помогает, кому надо вскрывают даже чипы для смарткарт, параноидально защищенные от все и вся, а более мягкотелые generic чипы...