Quis custodiet ipsos custodes
En el caso de que una parte sea un ejecutable y la otra un certificado, no es posible asegurar una verificación mutua; por lo tanto, si A valida B y usted necesita C para validar A.
Si simplemente estuviéramos hablando de 2 certificados, entonces es posible la autenticación mutua ya que se pueden agregar firmas a la entidad sin cambiar la parte firmada. Desafortunadamente, x509 solo permite una única firma en un certificado, y Dado que el modelo de confianza no está realmente diseñado para funcionar de esta manera, puede haber complicaciones con las herramientas para este enfoque (ya que al menos una firma deberá realizarse con un certificado sin firma).
Pero me estoy desviando del problema preguntado.
A también tiene que estar firmado
Pero para que esto tenga algún valor, la firma en A debe verificarse - por lo tanto, C. Y cómo validas 'C' - las tortugas están completamente abajo.
... o al menos hasta el punto donde está fuera de su control, ya sea porque está limitado por los permisos configurados por el administrador o las claves de confianza en UEFI o una Autoridad de certificación raíz (esto no significa que que sus administradores, proveedores de hardware o Autoridades de Certificación son de confianza implícita, sin embargo).
Puede valer la pena señalar aquí que las claves PGP públicas pueden tener múltiples signatarios que, curiosamente, permitirían al sistema operativo (dentro de algunas limitaciones) validar el hardware, así como el hardware que valida el sistema operativo de arranque en un arranque seguro, pero lamentablemente "Arranque seguro" utiliza x509.