Il modo in cui le firme JAR (o ZIP per Android) sono progettate è che hanno un file manifest, contenente digest per ogni file nell'archivio. Poi c'è un "file di firma" che contiene il riassunto delle voci manifest e il digest del manifest e quindi una firma PKCS # 7 del file di firma.
Quindi, qual è il punto del file della firma, c'è qualche svantaggio nel firmare direttamente il manifest?