La forma en que se diseñan las firmas JAR (o ZIP para Android) es que tienen un archivo de manifiesto, que contiene un resumen de cada archivo en el archivo. Luego hay un "archivo de firma" que contiene un resumen de las entradas del manifiesto y el resumen del manifiesto, y luego una firma PKCS # 7 del archivo de la firma.
Entonces, ¿cuál es el punto del archivo de firma, hay algún inconveniente con solo firmar el manifiesto directamente?