Igazából "kér", csak nem tőlem. Megértésem szerint a TPM a PCR regisztereket használja a kulcs kiadásához, ami alapján eldönti, hogy megbízható-e a rendszer. Ha bármelyik változik, akkor nem fogja a kulcsot kiadni. Pl.: kikapcsolja valaki a secure boot-ot. Vagy másik kernellel vagy initramfs-sel bootol. A TPM-et ezekhez a pcr értékekhez kötheted, pl.: PCR0 BIOS, PCR2 bootloader, PCR4 kernel, PCR7 secure boot státusz, stb...
Emellett van lehetőség pinkód, vagy független kulcs hozzáadására is, de én itthon ezt nem szeretném, ezt így elég biztonságosnak ítélem meg (és kényelmesnek). Egy laptopon lehet hogy fontosabb lenne.