Esta pergunta já tem uma resposta aqui:

Estou trabalhando em um projeto de software no qual o aplicativo acabará sendo executado em um ambiente não confiável. Preciso executar algumas assinaturas criptográficas auxiliares (o que significa que esse não é o principal meio de proteção de dados), mas não desejo deixar a chave à vista como tal:

private static final String privateKey = "00AABBCC....0123456789";

Que método posso usar para proteger isso razoavelmente? Estou ciente de que nada é prova completa, mas isso adicionará uma camada extra na parede de seguranç

Para esclarecimento: eu tenho o que é essencialmente uma String que eu não gostaria de ter facilmente retirado em um depurador ou por meio de reflexão. Estou ciente de que a descompilação do arquivo de classe pode essencialmente renderizar essa discussão, mas esse é um risco aceitáve

Obviamente, o armazenamento da chave fora do local seria ideal, mas não posso garantir o acesso à Interne