"generálok hozzá egy MD5 vagy SHA1 ellenőrzőösszeget" - Ócskább nincs? :-) A neten küldözgetett adatok esetén ha nem készíted fel az alkalmazást és a szerver oldalt a kölcsönös azonosításra, akkor "simaliba" lejátszani egy fake szerverrel a "jó, rendben" választ. (Lehet fokozni azzal, hogy csak saját, alkalmazásba beforgatott CA-val aláírt szerverkulcsot fogadsz el, és annak a binárisnak, amibe a kulcs bele van forgatva, a sértetlenségét is vizsgálod...
A dolog messzire vezet - a kérdés az, hogy mennyi erőforrást szánsz rá, illetve hogy a nem fizetős verziónak milyen korlátai lesznek a fizetőshöz képest?