Nur mal so vom Spielfeldrand (ich habe damit einfach keine Erfahrung):

Das Programm läuft auf dem Kundenrechner, d.h. der hat alle Möglichkeiten um einzugreifen: z.B. den Netzwerkverkehr absichtlich über einen eigenen http-Server umlenken und schon ist https umsonst (-> Man in the Middle) - außer der Server und der Client prüfen explizit das Zertifikat des jeweils gegenüber. Oder habe ich an der generellen Arbeitsweise von https was nicht verstanden?

-> wenn das so passt, dann muss die Datei weiter verschlüsselt sein um das abzusichern - und hier haben wir das Problem, dass der Schlüssel zum entschlüsseln dem Clientprogramm bekannt sein muss -> um damit zu arbeiten muss der irgend wann in den Speicher und ist damit potentiell abgreifbar. Und hier spielt es nur eine kleine Rolle wie verschlüsselt wird (AES, PGP,...) wenn der Schlüssel zum entschlüsseln auslesbar ist.

Daher sollte erst klar sein gegen was die Absicherung helfen soll, eine (nahezu) 100% Sicherheit sehe ich bei den Randbedingungen nicht gegeben.

Grüße