>> Подписывают вообще-то в CA навроде thawte, symantec. Это надо у них время
>> перевести и у всех их клиентов 8)
> насколько я знаю: СА удостоверяют твою подпись. То есть они подписывают твой
> ключ, которым ты подписываешь что либо. Соответственно т.к. ключ подписан, им
> уже до сентября можно подписать что угодно, единственно они могли отозвать
> сертификат данного ключа. И мне интересно, как осуществляется проверка валидности подписи
> при использовании ее в прошивке.

Для ограничения действия подписи есть:
* Срок действия сертификата
* TimeStamp-сервер для подписывания
* Список отзыва сертификата

Соответственно, если файл подписан без TimeStamp, подпись протухает вмесе с сертификатом
Если подписан с использованием TimeStamp, подпись не протухает никогда

по отзывам - в каждом сертификате (и соответственно в подписи) есть ЛИБО флаг того, что его самого на отзыв проверять не нужно и негде (нормально только у корневых сертификатов), либо URI для а) списка отзывов б) дельта-списка отзывов
Список отзыва а) - большой и толстый; б) - мелкая дельта относительно а)
У самих списков отзыва (а и б) есть срок годности. Так, например, большой и толстый полный список обновляется раз в год, а дельта - раз в неделю.

При проверке валидности происходит:
1. Проверка типа подписи (с таймштампом или без)
2. Проверка сертификата по временным рамкам (истек, не истек, подпись с таймштампом = бессрочная)
3. Проверка локального списка отзывов и локального дельта-списка отзывов
4. Обновление списка отзывов и дельта-списка отзывов
5. Данная проверка повторяется по всей цепочке сертификатов до корневого и включая его

Если хоть что-то не пройдет, то подпись считается невалидной.