> наоборот есть, даже жеще чем на UEFI.
> читать: ArmTrusted, TEE.

Вы гоните сэр. На оранжах обычно не прописан никакой секурбут вообще. И ключ root of trust не вшит. Можно свой, в девственный чип вшить самому, китайцы не парятся этим.

А вот в современных интел и амд - в фузы прям с фабы вписаны ключи ME/PSP внаглую. Отдавать управление платформой индейцам там вообше и не собирались. Ах да, ATF (Arm Trusted Firmware) под эти штуки мало того что опенсорсный - так еще и порт на вот эти платформы есть, и - тадам - можно вот именно СВОЙ ATF в их TrustZone запускать. Технически TrustZone просто самый привилегированый режим проца. Из которого можно часть доступов порезать. И если там МОЙ код - то какие проблемы то? Это секурити фича в таком виде. Полезность замка очень зависит от того есть ли от него ключи и у кого они. Вот там ключи - у меня. А в UEFI на x86 - индейцев держат за индейцев. При том весьма нагло, "девственный" проц вообще купить невозможно, ему собственник в терминах секурбута (владелец мастер-ключа в фузах) прописан прям с фабы. И это интель и амд, почему-то. Так что это ИХ платформа, а вы - в гостях. При этом интел и амд всегда могут обойти все ваши потуги. А вот вы будете делать не более чем они вам милостиво позволят. Круто, да? :)

> Просто за вас уже все собрали и подготовили..

Да вообще-то вот там - ВЕСЬ системный софт можно - таки - свой. В отличие от wintel'ской проприетарной дряни. И DTB (DeviceTree) куда как менее глюкаво под линухом чем долбаное ACPI заполняемое какими-то раджами в состоянии расширенного сознания, судя по содержимому его таблиц.