Ja und? Es ist eine eiserne Regel der modernen Kryptographie, daß die Sicherheit nur im Schüssel liegt und die Methode im Gegensatz zu Deiner Behauptung veröffentlicht ist (damit man sie reviewen und verbessern kann).

Was natürlich nicht gut wäre, den Schlüssel ungeschützt im Programm zu verwenden. Man kann ihn zur Laufzeit aus einem verschlüsselten Schlüssel berechnen. Ein ähnliches Prinzip wenden zB PGP und Konsorten an (die berechnen via Passwort die privaten Schlüssel aus einem verschlüsselten Schlüsselbund); diese Programme wäre gemäß Deiner Theorie völlig unsicher.