Inicialização segura do armazenamento Nitrokey?

Eu estava pensando em comprar um NitroKey. Para minha surpresa, encontrei a seguinte declaração no folheto :

Keep a Secure Operating System With you at all  Times

Securely boot Windows or Linux directly from Nitrokey Storage. Nitrokey Storage encrypts and protects the system against manipulation, such as the installation of surveillance software via „Evil Maid“.

Estou familiarizado com a manutenção de um carregador de inicialização, kernel e initramfs com chaves de criptografia em um pendrive para evitar violações. Mas esse armazenamento por si só não é criptografado, caso contrário, o kernel do carregador de inicialização + não pode ser carregado pelo sistema.

Mas neste caso estou um pouco confuso como funciona. A maioria das fontes que encontrei em relação ao seu mecanismo de criptografia é que um aplicativo no host deve solicitar o PIN do dispositivo para descriptografar arquivos no armazenamento. Então, a menos que ele venha com alguma lógica interna do carregador de inicialização, como é trazer um sistema em um estado para poder perguntar o PIN? O NitroKey realmente inicializa um sistema de maneira revolucionária?

Eu tentei procurar por fontes secundárias para essa reivindicação, mas não adiantou:

• Nitrokey FAQ , não diz nada relacionado à inicialização
• O guia de atualização de firmware diz para --suppress-bootloader-mem , o que me dá a sensação de que há um gerenciador de inicialização. (Google encontrou-me este link baseado na palavra boot provavelmente)
• Guia de instalação , nada lá.
• Um tópico no fórum de pessoas que imaginam que arrancar a partir de um stick significa executar um sistema operacional completo a partir dele, em vez de descarregar o sistema operacional para o disco rígido criptografado. Nenhuma resposta clara também.
• Mais menções sobre o bootloader, mas não o que faz.