Heads - это настраиваемая прошивка и конфигурация ОС с открытым исходным кодом для ноутбуков и серверов, целью которых является обеспечение немного лучшей физической безопасности и защиты данных в системе. В отличие от Tails, которая стремится быть ОС без гражданства, которая не оставляет следов на компьютере своего присутствия, Heads предназначен для случая, когда вам необходимо хранить данные и указывать их на компьютере.
Heads - это не просто еще один дистрибутив Linux, он сочетает в себе физическое упрочнение определенных аппаратных платформ и функции флэш-безопасности с пользовательской прошивкой coreboot и загрузчиком Linux в ПЗУ. Это перемещает корень доверия в область, защищенную от записи, вспышки SPI и предотвращает дальнейшие модификации программного обеспечения(к загрузочному коду (и на платформах, которые его поддерживают, Bootguard может также защитить от многих аппаратных атак). Управление первой инструкцией, выполняемой процессором, позволяет Heads измерять каждый шаг загрузочной прошивки и конфигурации в TPM, что позволяет подтвердить пользователю или удаленной системе, что машина не была подделана. В то время как современные процессоры Intel требуют загрузки двоичных блоков, эти несвободные компоненты включены в измерения и, по крайней мере, гарантированы как неизменные. Как только система находится в известном хорошем состоянии, TPM используется в качестве хранилища аппаратных ключей для расшифровки диска.
Кроме того, изображения гипервизора, ядра и initrd подписываются ключами, контролируемыми пользователем. Хотя все эти изменения прошивки и программного обеспечения не защищают систему от всех возможных векторов атаки, они рассматривают несколько классов атак на процесс загрузки и физическое оборудование, которым пренебрегали в традиционных установках, надеюсь, что это поднимет трудности за пределы того, что большинство нападающих готовы потратить.
Машинный перевод. Тут есть ещё инфа про эту ос
https://trmm.net/Heads_33c3/