NIST: CVE-2023-40547 Detail
Wenn diese Systeme gegen staatliche Akteure konstruiert wäre würden sie nicht so viel mit zentralen Schlüsseln machen sondern das dem Besitzer des Rechners überlassen. Der Staat kann Microsoft und Co ja einfach zwingen seine Malware mit zu signieren und darüber nichts an die Öffentlichkeit zu tragen.
Genau das ist aber bei Secure Boot auch möglich. Secure Boot erlaubt das Löschen der ausgelieferten Schlüssel und das Einbringen der eigenen. Ist halt nicht der Standardfall, aber idR immer möglich, zumindest bei den Geräten, die ich bisher hatte. Komplett ohne die offiziellen Schlüssel kann es in manchen Fällen aber wohl schwierig werden. Aber nicht unmöglich.