A privát kulcs kinyerését hogyan akadályozod meg? Nem csak a tárolását, hanem a generálását is úgy, hogy az ne legyen kinyerhető az eszközből?
Nem teljesen értem milyen privát kulcs-ra gondolsz. Az aláíró kulcs exportálható az appból. Az időbélyegzéshez szükséges oauth (vagy idk mit használnak pontosan) token (ami a dáp logint biztosítja) persze jól el van tárolva, az csak root joggal nyerhető ki (tudom picit macera, de ez se fizikai képtelenség).
itt okmányról beszélünk, olyasmiről, ami hitelesen igazolja, hogy a birtokosa x.y. természetes személy.
Ha arra gondolsz, hogy adott állampolgár ne tudja átadni másnak a dáp-ját, az most se teljesül. Semmi nem akadályoz meg abban, hogy másnak a telefonjára regisztráljak egy dápot (akár kormányablakos qr kóddal akár e-személyivel végzem a regisztrációt).
Hasonlóan ha egy képzelet beli desktop dáp titkosítva tárolná az oauth tokent, én határoznám meg, hogy a titkosított adatot és az ahhoz tartozó jelszót megadom-e másnak.