Vista previa :
Estoy desarrollando una aplicación incrustada segura que recibe un código, firmado con RSA-2048 y verifica su firma antes de activarlo con una clave pública preprogramada. Quiero usar la certificación de firma de código para verificar la entidad que creó y firmó este código. Hice una investigación en línea y no encontré ningún flujo claro en el uso de tales certificados, tengo las siguientes preguntas sin una respuesta clara.
Preguntas :
1. Supongamos que una CA emitirá un certificado de este tipo para el código, ¿se adjuntará la clave pública que firma el certificado? Si es así, ¿qué evitará que un atacante altere este certificado y lo firme con su propio par de claves? y si no, ¿de dónde provendrá la clave pública para autenticar el certificado?
2. ¿Tengo que analizar el certificado dentro de la aplicación incrustada?
3. ¿Dónde puedo obtener un ejemplo de dicho certificado?