Пусть файл подписан несколькими ЭЦП. Если подписи detached-открепленные, то, как я понимаю, и как делается в PGP, рядом с файлом создается файл с таким же именем, но с другим расширением, в котором лежит подпись. В случае распространенной enveloped подписи, подпись внутри данных, например, такое часто юзают при подписании ХМЛ.

Зачем проверять все подписи==сверять все хеши? Если файл, меняется, то автоматом все подписи станут невалидными, можно же любую одну проверить, нет?

То же самое в ХМЛ, там еще сложнее - чтобы проверить все, надо проверить последнюю, удалить подпись, проверить бывшую предпоследнюю==текущую последнюю и так далее. А ведь при модификации файла последняя подпись тоже поменяется. Смысл тогда проверять все подписи?

Единственное объяснение для проверки всех подписей: обычно ЭЦП включает в себя сертификат открытого ключа, то есть можно не просто тупо проверить хэш, а узнать данные подписвашего, проверить, отозван или нет сертификат, срок действия.

Если да, то можно ли для проверки валидности подписи проверять только последнюю подпись, а не геморроиться с удалением подписей, а инфу извлекать тупо пробегаясь по всем пописям -
. ТО же самое в открепленных подисях - считать хеш/проверить подпись только для одного любого, а инфу извлекать из всех. Прикол в том, что всегда проегаемся по всем подписям, но хеш проверяем в любой одной, можно ли так делать?