Sé que la pregunta es bastante amplia porque no estoy especificando qué hardware y qué SO, pero eso es intencional. Sé que debería haber una raíz de verificación de confianza en el hardware (ROM) antes de que la imagen sea confiable e instalada. Pero ¿hay otras restricciones? Quiero decir, ¿la presencia de otro periférico / hardware cambia el escenario?
No. El inicio seguro está destinado a proporcionar una cadena de confianza para la ruta del software. Por ejemplo, si inicia un CD, el inicio seguro verificará que el CD esté firmado.
Pero si arranca desde un disco duro, no hay necesidad de comprobar si el CD es "confiable" porque el contenido del CD no está involucrado en el proceso de arranque.
Cuando la BIOS ha entregado el proceso de arranque al cargador de arranque de primera etapa (MBR) firmado en el disco duro, es responsabilidad del gestor de arranque de la primera etapa verificar el cargador de la segunda etapa, que está firmado. Y así sucesivamente, la segunda etapa verificará que los kernels y los controladores de arranque estén firmados, y cuando se inicie el sistema operativo principal, el sistema operativo principal verificará otros componentes.
Si el hardware agregado hace que la computadora seleccione otra ruta de inicio, por ejemplo, una unidad PCIe o similar, y esta ruta de inicio contiene datos que fallan en la validación de la firma, por supuesto que el inicio seguro fallará.
El hardware agregado, como el teclado o similar, puede evitarse mediante la configuración de políticas en el sistema operativo principal. Dado que no se acepta la entrada de una clave hasta que se inicie el sistema operativo principal, la computadora estará segura. La única excepción es el indicador de BIOS, pero se puede proteger con una contraseña.