a 3rd party semmit nem csinálna, hanem az ms írná alá a saját hash leírásukat. persze tesztelés után. és ez a text fájl csorogna le a felhasználó gépére. pl:
NAME=firefox
VERSION=3.6.x
MD5=567565667...
SHA1=788778..
SHA256=557576...
LINK=http://mozilla.org/...
NAME=thunderbird
...
vagy hasonló. sima text + ez aláírva