Non sono sicuro di cosa sia molto sicuro sulla firma digitale di un software o di un firmware da distribuire. Comprendo il vantaggio in quanto può far sapere al destinatario se i dati si sono alterati accidentalmente durante il trasferimento in quanto gli hash non corrispondono, o se il software o il firmware stesso è stato appositamente manomesso e modificato.
Tuttavia, cosa succede se il software / firmware e anche la firma digitale vengono modificati di proposito? L'hash trasmesso corrisponderà ora al software / firmware modificato. Ignoriamo la parte delle chiavi pubbliche e private per ora. Gli hash non si accoppieranno ancora sul lato ricevente e abbiamo un software modificato che può ancora essere accettato?