这取决于您所说的“安全启动的整体概念”是什么意思。

几乎所有的安全引导系统都有几个组件，从 ROM 中的一个开始，到操作系统甚至该操作系统中的程序结束。典型的引导链是 ROM → OEM 引导加载程序 → 操作系统引导加载程序 → 操作系统内核 → 操作系统启动程序。典型的安全引导链让链中的每个元素验证下一个元素的签名。每个链接可能涉及不同的权威来决定允许哪些签名（芯片组制造商、OEM、操作系统供应商……）。

对于 Matthew Garrett 的 shim，路径是：... → UEFI → shim → OS bootloader。垫片使用 UEFI BIOS 接受的签名进行签名。垫片的代码决定下一阶段允许的内容。垫片的设计允许任何实际拥有该设备的人为下一阶段提供自己的签名密钥。

如果您认为安全启动是关于设备所有者控制设备可以运行的内容，这是完全正常的：最终用户对设备上执行的软件拥有最终控制权。如果您认为安全启动是关于设备制造商锁定软件以防止最终用户修改，那么允许像 Matthew Garrett 这样的人参与安全启动链会破坏安全启动。

背景是微软，部分通过UEFI 规范，一直在推动 OEM 在所有运行 Windows 8 的平台上激活安全启动，只允许 OEM 批准的操作系统（微软拥有签名密钥）。在 PC 风格的平台上，微软签署了一个 shim，允许加载其他操作系统，允许其他操作系统供应商提供安全启动。在附带 Windows 8 的 ARM 平台上，微软保留了唯一的签名密钥，将用户锁定在微软的操作系统中。

这是使用可信平台模块来击败邪恶女仆攻击。简而言之，这是为了确保您的引导加载程序没有被篡改，这可能会破坏加密的文件系统。