Dein System baut auf Kooperation, möchtest du das nicht bleibt nur TPM und damit die "Enteignung" deiner User.
Andererseits ist das in deinem Falle garnicht sooo schlim. Da deine User quasi zertifiziert sind ist es ein leichtes für dich herauszufinden welcher User einen Mißbrauch getätigt hat und schwups sperrst du den Zugriff.

Gruß Hagen

Es gibt einfache Verschlüsselungen, die Veränderungen erkennen und theoretisch auch korrigieren können (man kann also ermitteln, welches Bit z.B. geändert wurde). Das ist aber nur für extrem kleine Zahlenwerte noch handhabbar, weil das ganz schnell in höhere Mathematik (Lineare Algebra) geht. Das gute ist, dass die Kontrollmatrix nur auf dem Server bekannt sein muss. http://de.wikipedia.org/wiki/Linearer_Code

@Hagen:
TPM steht außer Frage da es für das Projekt gänzlich ungeeignet ist.
Wenn ich erkenne das Jemand an den Daten rummanipuliert, dann weiß ich auch sofort wer es war. Das ist schonmal gut.
Mein Problem ist lediglich es überhaupt zu erkennen.
Wenn ich einen Hash aus den gesendeten Daten berechne und der Nutzer rauskriegt wie das geht, dann habe ich keine Möglichkeit mehr zu ermitteln ob die Daten stimmen oder nicht.


@CodeWalker:
Das sieht vielversprechend aus wenn der Berechnungsaufwand da nicht in den Weg kommt. Gibt es denn irgendwelche Beispielimplementierungen in Delphi oder PHP?

Du könntest noch mit PHP den User-Agent auslesen.

Eine Alternative wäre der Reed-Solomon-Code. Quellen:

Google CodeSearch
http://www.google.de/codesearch/p?hl=de&sa=N&cd=15&ct=rc#1Bj98NGFTOQ/~wojcik/dydaktyka/zaoczne/mag/krypt/lab_k4.zip|RSCODE1.PAS

http://www.eccpage.com/ (etwas runter scrollen)
Schifra (C)

das geht nur auf Serverseite mit der inhaltlichen Überprüfung der Daten. Angenommen du kannst deine Daten nicht inhaltlich überprüfen ob sie korrekt oder inkorrekt sind dann wird es niemals eine sichere Methode geben. Beispiel: Du hast einen Datensatz bestehend aus einem Boolean Datenfeld. Das kann nun TRUE oder FALSE sein. Wenn du nun selber keine Möglichkeit hast zu erkennen das TRUE richtig ist und FALSE ist falsch dann kann es niemals eine Methode geben die dieses fehlende Wissen irgendwie anders kompensiert.

Ergo: du hast eine Methode die deine Daten auf inhaltliche Richtigkeit prüfen kann denn ansonsten kannst du das einfach nicht prüfen und jede beliebige Kombination an Dateninhalten sind immer gültige Daten.

Wenn du sicherstellen möchtest das diese Daten nur von deiner Software stammen dann gibt es wie gesagt nur die beiden oben angesprochenen Wege:
a) Kooperation mit deinen Benutzern, ergo Passwörter für die Benutzer und darauf basierend Zertifikate
b) TPM und selbst das könnte man mit relativ geringem Aufwand von par Millionen Ören auch knacken.

Weg c) Abkehr von sicherer Kryptographie und Nutzung von "Tarnen & Täuschen & Obfuscation & Antihacking & Anticracking" Tricks die dann aber um Millionenfaches schwächer sind als echte Kryprographie.

Kryptographie zwischen zwei Parteien ist immer nur dann wirklich sicher wenn beide Parteien sich an die Spielregeln halten, alles andere ist quasi immer unsicher.

Ich sehe oft in der Kryptrographie, bei vielen Menschen, den Wunsch die Quadratur des Kreises zu lösen, die sinnlose Suche nach dem heiligen Gral.

Gruß Hagen