O boot seguro foi pensado para garantir que apenas agentes previamente autorizados possam iniciar o computador. A princípio parece ser positivo pois evitaria uma série de vírus ou invasão aos computadores, pois os hackers não teriam como assinar seus inicializadores malévolos com chaves autorizadas.
Os fabricantes de placa mãe já adicionam na própria BIOS quais chaves são autorizadas para assinar os inicializadores, caso a opção de boot seguro seja ativada. A BIOS também dá opção de adicionar novas chaves de assinatura, caso, por exemplo, a sua empresa queira criar um inicializador e que ele seja inicializado de forma segura.
Não dá para saber ao certo quais empresas são autorizadas a assinar o inicializador, isso depende do acordo entre o fabricante da placa mãe e as empresas, mas geralmente a Intel (criadora da especificação UEFI) e a Microsoft estão presentes.
Seria inviável que as distribuições Linux ficassem pagando para assinar seus inicializadores, portanto criaram um método alternativo: Juntaram-se para pedir a assinatura de um inicializador genérico (shim.efi), e esse inicializador genérico carrega o grub de cada distribuição, em teoria sem problemas.
Algumas distribuições sequer utilizam o shim.efi, nessas nem tem como iniciar em modo seguro. Outras que distribuem o shim, podem iniciar nos dois modos. Porém alguns casos esporádicos não são carregados nem com o shim.
Em questão de segurança, isso vai diminuir a vulnerabilidade do sistema contra inicialização não autorizada. A eficácia porém depende também de outros fatores. Um malfeitor não poderia remotamente alterar o inicializador padrão e reiniciar o computador, de modo que o computador entre em um sistema operacional que ele transferiu. Em computadores domésticos, é comum que quando se limpe a BIOS (Clear CMOS) as chaves autorizadas também voltem para o padrão, ou seja, a mesma tentativa com acesso físico ao computador será bem sucedida.
Perceba que no caso acima, onde o malfeitor acessa remotamente o computador, ele poderia tentar iniciar um sistema modificado por ele mas que use o shim para carregar. Portanto, essa proteção só é efetiva caso as chaves padrão de assinatura da BIOS sejam removidas e apenas uma chave da empresa seja utilizada nos computadores da empresa. Quando o malfeitor tem acesso físico ao hardware, e o hardware foi bem feito (limpar a BIOS não limpa as chaves autorizadas), vai depender de etapas adicionais para conseguir o acesso, como regravar a BIOS. Portanto mesmo com boot seguro, é importante haver criptografia do disco com outras estratégias.
Na prática, para o mercado doméstico, o boot seguro vira apenas mais uma barreira quando o usuário quer instalar um sistema operacional que não seja autorizado pela empresa que fabricou a placa mãe. Já no mercado corporativo é uma boa ferramenta para evitar inicialização de sistemas operacionais não autorizados pela equipe de segurança da informação.