youngrentДавайте определимся)
Есть сервер, есть родной клиент. Перед подключением к серверу пользователи проходят аутентификацию.
Есть умельцы, которые могут создать свой клиент, использующий функцию сервера, при этом эти умельцы вполне могут успешно пройти аутентификацию под своим логином и паролем.
Мне нужно каким-то образом понимать на сервере, подключается ли ко мне "родной" клиент или нет.
Злоумышленники могут перехватывать сообщения отправляемые родным клиентом, могут его дизассемблировать.

Я считаю, что от таких "атак" защищаться малоэффективно, просто решил узнать, есть ли какие-то стандартные решения для таких ситуаций.Ну, в порядке бреда: по клиенту раскиданы вызовы функций, увеличивающие пару счётчиков и иногда, в зависимости от их значения, посылающие какую-то комбинацию на сервер; сервер ждёт эти сообщения с определённой регулярностью и проверяет их на "правдоподобность". Серьёзно настроенным людям это, конечно, не помешает (от них вообще в такой модели угроз не защититься), а вот горе-хакерам можно доставить немало приятных минут.

Не в порядке бреда - методы противодействия дизассемблированию и отладке. Опять же, не панацея, но попотеть заставит.

youngrentВикипедияДругими словами, при оценке надёжности шифрования необходимо предполагать, что противник знает об используемой системе шифрования всё, кроме применяемых ключей.
Вот и получается, что если следовать проверенным временем рекомендациям, нужно этот закрытый ключ прятать хитрым образом. Всё это очень сомнительно, и я склоняюсь к мысли, что не стоит тратить на это время.Нет. В статье, видимо, речь идёт о модели угроз Долева-Яо или подобной, когда сами компьютеры Алисы и Боба считаются нескомпрометированными. В Вашем случае есть, строго говоря, только сервер и его враждебное окружение, плюс (безопасный) канал передачи пользователям логинов-паролей.

Формально, достаточно поменять в клиенте один байт, чтобы он не был "родным" клиентом; математической защиты от этого на скомпрометированной машине не существует; существуют практические меры (улавливание собственных прерываний, подсчёт собственной контрольной суммы, замеры задержек при выполнении команд и т.д.), но они обходимы за конечное время и от них ничего дйствительно критичного зависеть не должно.