¿Hay alguna forma de falsificar una firma?

Sí, es posible, pero es criptográficamente difícil. Las firmas implican múltiples pasos:

1. Hash de la aplicación/mensaje/lo que sea para producir un digest
2. Firmar el compendio con una clave tal que la firma pueda ser verificada utilizando información disponible públicamente.

Las funciones hash criptográficas están diseñadas específicamente para tener propiedades de resistencia a las colisiones para evitar que alguien encuentre múltiples entradas que den el mismo resultado. Al especificar que se mantenga la firma original, se está preguntando por lo que se denomina la función hash débil resistencia a las colisiones , si es difícil encontrar una colisión para una entrada específica. Esto es débil en el sentido de que es más fácil de lograr que fuerte resistencia a las colisiones que es una medida de la dificultad de encontrar cualquier colisión entre cualquier entrada.

Para una función hash criptográfica perfecta, no se puede hacer nada mejor que intentar entradas aleatorias (o malware + elemento aleatorio) con la esperanza de generar una colisión. La probabilidad de hacer esto es 1/2^n para un intento, donde n es el número de bits en la salida hash. Para un n grande, la cantidad de tiempo que se necesitaría para tener una posibilidad razonable de encontrar una colisión es astronómica, incluso con los recursos informáticos disponibles a nivel nacional.

Para cualquier función hash criptográfica real, existe la posibilidad de que personas muy inteligentes encuentren en el futuro una forma sistemática de encontrar colisiones. Es entonces cuando la gente deja de utilizar la función hash (por ejemplo, MD5) para aplicaciones seguras y la sustituye por alternativas más seguras.

En resumen, esto no es algo de lo que debas preocuparte, a menos que se descubra que las firmas utilizan funciones hash rotas.