Отвечаю себе сам — вдруг кому-то еще пригодится.
После опроса крупнейших игроков на рынке выяснилось, что используется строго вариант Б. Т.е. подпись файла валидна только в контексте того системы в которой его подписали. Если же кто-то скачивает файл, то проверить был он подписан или нет — невозможно.
