对 Android 设备上的信息进行加密（合理防止用户访问）

Question

我们正在制作一个 Android 应用程序，一个问答游戏，我们希望在用户离线时缓存问题和答案。这样做的问题是，我们需要向用户隐瞒这些数据，直到她回答了问题。否则，很容易作弊，从而损害游戏。然后，人们可以提取所有问题 + 答案，并自动将答案提交到服务器 API。

最方便的方法是在安装时从我们的服务器检索密钥或秘密，将其隐藏在“某处”，并使用它与服务器通信，以及对存储中的问题+答案进行加密。但显然，将其隐藏在“某处”并不是一个安全的概念。

我进行了一些研究，似乎在这种情况下不可能进行可靠的加密，因为应用程序必须“知道”秘密（无论是证书、密码+盐或其他什么）或至少在哪里可以找到它，并且可以通过反编译来提取。不过，如果这件事够难的话，我们也不会介意。

问题是：你知道有什么方法可以让普通用户从 APK 中检索秘密变得异常困难 - 即几乎不可能编写自动密钥提取器吗？

我最好的到目前为止的猜测：

• 隐藏数据库中的一些信息并将其用作密钥的盐
• 添加来自设备的几位信息作为盐（IMEI，电子邮件地址，序列号，...） - 也许与混淆的方式一起加盐可能会很困难获得？

Answer 1

您可以为每个问题使用单独的密钥，这取决于上一个问题的答案。因此，除非您已经回答了问题 1，否则不可能解密问题 2。