Mi piacerebbe avere un'applicazione open source per generare dati e firmarla in modo tale che chiunque abbia accesso ai dati da solo possa sapere con certezza che è stato generato da quel codice open source.
Più specificamente l'applicazione viene eseguita su un dispositivo mobile, ad esempio Android, e non è una parte affidabile. Genera dati elaborando le letture del sensore del dispositivo come fotocamera, gps, ecc. Con un algoritmo open source. I dati vengono quindi presumibilmente firmati e caricati su un database.
L'idea è che qualcuno che ottiene l'accesso ai dati (osservatore) possa confermare crittograficamente che è stato generato da una versione nota dell'applicazione open source. L'osservatore non ha accesso all'ambiente di runtime.
È possibile garantire che l'applicazione sia nota, versione ufficiale o è possibile aggirarla?