> ...кому попало!

Как политика настроена, тому и выдаётся. Можно и кому попало, а можно только в случае совпадения измерений системы. Поменял критические компоненты - измерения тоже поменялись.

Я вижу только один недостаток - мне приходится верить на слово производителю TPM-чипа, что там нет секретной инструкции "откройте, ФБР!". Но от этого спасает разделение секрета на части - одна в TPM, другая на бумажке, третья на удалённом сервере с вайтлистом по IP. И в таком виде с TPM становится лучше, чем без него.

> Может тогда пароль на бумажке под клавиатурой стоило хранить?

Подход с бумажкой не масштабируется и не защищён от подмены сервера.

> Во первых оно многим и не надо.

Кому не надо, те могут не использовать. Большинство пользователей Windows не умеют проверять подлинность своей системы, а обновлять её всё равно как-то надо. Кому надо не для Windows, те могут свои db и dbx загрузить, выкинув ключи от MS.

> Доверять с ножом к горлу фирме напихавшей в железо ME

Так всё равно сам чип от той же фирмы и закрытый. А даже если бы был открытый, то провалидировать отсутствие в нём бэкдора почти нереально. Разницы никакой.

> А, поверить джентльменам на слово?!

Аналогично предыдущему пункту. Если нет доверия Intel, то зачем вставлять его процессоры в сокет своей системы? Мастерключ тут - не подписи, а исходники самого чипа.

> Если завтра что-то пропатчат - вы об этом если и узнаете то далеко не сразу.

Чтобы пропатчить ME, надо патч во флеш-память записать. SPI замотивированный пользователь всё ещё может контролировать.

> А тот кто дизайнил эти булшит-спеки уж точно атакующим быть не умел.

Что именно в спеке TCG TPM 2.0 вызывает проблемы?

Кстати, спека TPM почти нигде не говорит, что TPM обязан быть закрытым. Если забить на валидацию EK против рекомендованного TCG списка сертификатов, то можно сделать открытую реализацию - свободные эмуляторы TPM вполне существуют, и их можно использовать, если запускать их на отдельной машине с SPI или LPC-интерфейсом до целевой.