Me gustaría que una aplicación de código abierto genere datos y los firme de tal forma que cualquier persona con acceso solo a los datos pueda estar seguro de que fue generado por ese código de código abierto.
Más específicamente, la aplicación se ejecuta en un dispositivo móvil, por ejemplo Android, y no es una parte confiable. Genera datos al procesar las lecturas del sensor del dispositivo como cámara, gps, etc. con un algoritmo de código abierto. Los datos luego son presumiblemente firmados y cargados en una base de datos.
La idea es que alguien que tenga acceso a los datos (observador) pueda confirmar criptográficamente que fue generado por una versión conocida de la aplicación de código abierto. El observador no tiene acceso al entorno de ejecución.
¿Es posible garantizar que la aplicación es una versión oficial conocida o es posible eludirla?