Tak co jsem videl treba na IBM serverech, tak tam jen maji upraveny TianoCore EDK2. Ale co maji v mobilech a tak, to netusim.

To jsem psal přeci hned na začátku téhle diskuze, že je to možná jen spíš "zdání bezpečnosti", protože nikdo neví, jestli v samotném UEFI firmware není backdoor / exploit. Ale pořád se budu cítit bezpečněji, když se budu bát jen backdooru / exploitu v samotném UEFI firmware, než když vím, že jsem tam "pod rohožkou" nechal klíče Microsoftu Prostě snížím množství možných vektorů útoku.

Jinak ThinkPady to mají zdá se řešeno vcelku dobře: ThinkPad BIOS Password Design for UEFI (confidential prezentace Lenova z roku 2010, PDF). Existuje sice postup, jak Supervisor Password resetovat i na moderních ThinkPadech (na těch starších to bylo jednodušší), ale obnáší to přečíst a přeprogramovat firmware přes HW programátor a vyresetovat TPM čip. Není to tedy rychlý postup (dostat se k tomu čipu není zrovna lehké, znamená to de facto rozebrat celý notebook, a i to vyčtení a přeprogramování trvá), který by mohla jen tak narychlo aplikovat "evil maid", a bránit se dá proti tomu i fyzicky (např. vteřinovým lepidlem či epoxidem ). Už to že ten postup pokud vím umí jen jediná rumunská firma, která se na to specializuje už dlouhá léta, a samotné Lenovo v případě zapomenutí Supervisor Passwordu vyměňuje dotyčnému celou základní desku, o něčem vypovídá