Какой смысл того, чтобы подписать код, как банки?

Когда вы подписываете jar-файл, вы можете показать, что именно вы подписали его, а не кто-то другой.

Это та же идея, когда вы подписываете документ - только вы можете написать свою подпись. Другие люди могут подписать его, но они подпишут его своей подписью, а не вашей.

При рукописной подписи опытный фальсификатор может научиться копировать вашу подпись. С цифровыми подписями сделать копию гораздо сложнее, потому что вам нужно получить закрытый ключ этого человека. Без закрытого ключа вы не сможете сделать подпись, похожую на его подпись.

Подписание jar привязывает содержимое к определенному сертификату. Так что же доказывает этот сертификат?

Если закрытый ключ для сертификата был украден, то не очень много. Существуют устройства защиты от взлома для хранения закрытых ключей. Однако часто закрытые ключи лежат на машинах разработчиков. Эти машины, вероятно, не очень хорошо защищены.

Сертификат может быть подписан известным центром сертификации (ЦС). Таким образом, конечный пользователь имеет некоторую уверенность в том, что содержимое имеет заявленное происхождение. Объем проверки того, что владелец ключа сертификата является тем, за кого себя выдает, варьируется. Это привело к гонке на дно, когда центры сертификации упрощают процедуры, чтобы предложить более низкие цены.

Даже для непроверенных сертификатов различное содержимое, подписанное одним и тем же сертификатом, указывает на общее происхождение. Поэтому, если вы решили доверять сертификату, вы можете получать больше контента того же происхождения, не доверяя никому другому.