шаг получения хэша мы полностью контролируем и можем вернуть там что угодно

Кстати, да, как именно?)

либо написать свою обёртку PackageManager и делегировать все вызовы туда, либо просто поменять байткод, чтобы использовать захардкоженный хэш вместо вызова getSignatures

И как ты это за пределы Binder Proxy прокинешь?

Всем привет!
Читал данную статью - https://habr.com/ru/post/423753/ и появились некоторые вопросы.
Android Keystore поддерживает AES шифрование только с api 23, получается есть только возможность использовать ассиметричное шифрование RSA на версиях ниже. Сразу скажу, у меня знаний по криптографии очень мало) Так вот, я думал, что если использовать вообще только RSA тогда, чем заниматься каким то мигрированием после обновлений или logout пользователя, что вообще не очень. Сильно ли я проигрываю использовав RSA вместо AES?

я могу поменять все вызовы PackageManager на вызовы GrishkaPackageManager, который я сам написал и возвращаю оттуда что хочу

используйте Tink библиотеку от гугля.
Там все небезопасные варианты уже убраны из доступных.
И да, RSA не может быть заменой AES. Это ассиметричный и симметричный алгоритмы соответсвенно. Их замена - для AES до 23 Апи - 3DES, а RSA вообще не стоит использовать не сдав экзамены по криптографии. в Tink для их замены  есть готовые варианты криптографии на эллимтических кривых