A resposta curta é sim. Aqui está o meu design.
- SecureBoot ativado
- PK e todas as outras chaves substituídas por minhas próprias chaves somente
- UEFI protegido por senha impossivelmente longa para impedir alterações não autorizadas
- O disco de inicialização tem uma pequena partição bootloader grub não criptografada
- O arquivo .uefi de inicialização é assinado digitalmente pela minha chave privada
- O boot .uefi está configurado para descriptografar outra partição criptografada pelo LUKS no disco, recuperando a chave do TPM
- A chave é carregada no TPM para corresponder ao estado atual exato da partição de inicialização ROM + UEFI + + alerta fechado do chassi não ativado + periféricos + grub
Dessa forma, somente meu sistema operacional será carregado, se você fizer a menor alteração, não poderá recuperar a chave de descriptografia (porque os hashes não corresponderão).