Not to sound paranoid (though I suspect I am in this case) but what if rather than a key compromise it's a crypto compromise - someone finds a way to determine the public key from the private key, or finds a vulnerability in the cryptosystem?  Link of interest (old): 
<a href="http://pauillac.inria.fr/~doligez/ssl/">http://pauillac.inria.fr/~doligez/ssl/</a>  (40b session key only, but still... new things come around the bend pretty often.)<br><br>Now a group pools computing power (or quantum computing becomes reality), breaks three (or even two) keys, and you're vulnerable to automated product-wide devestation.
<br><br>Holding down a button doesn't protect against phishing... but phishing doesn't get all machines overnight, and holding the button down again *may* be enough to let you load a good BIOS again.  (Or not, in which case the only reload vector I can think of would be JTAG or whatever the direct programming method is.)
<br><br>Is there any compelling reason not to use both the buttonpress and signatures?  Belt, suspenders, as my dad used to say.<br><br>--DTVZ<br>