В один прекрасный день наш сертификат подписи кода протух.

Ну протух и протух, случается. У нас же есть новый сертификат! Щас переподпишем, и всё заработает!

А вот и нет. У нового сертификата - новая цепочка доверия, а владельцы системы куда мы ставимся не настроены устанавливать сертификаты от (в принципе весьма известного) CA в своё хранилище доверенных сертификатов.

Но они готовы использовать на своей стороне скрипт на powershell, который будет проверять валидность, а потом устанавливать без проверки подписей. Да и мы хотим быть уверены, что устанавливаться будет именно наш код. А пакуем мы код на машине, на которую powershell ставить не хочется.

Так что призовём на помощь криптографию, и набьём немного шишек.