Zur ganzen 2) und 3b), da es die Diskussion hier jetzt in letzter Zeit schon öfter gab, ich denke es ist nicht machbar, ohne das es manipuliert werden kann. Der Hash den der Server will, lässt sich mitsniffen, ist er dynamisch ist irgendwo im Original die Formel wie er generiert wird. Selbst falls das nicht gelingt, lässt sich einfach die richtige Antwort vom Server simulieren oder die Überprüfung so cracken, dass sie immer als richtig erkannt wird. Als wirkliche Integritätsprüfung wird das Ganze also nicht taugen, einen nützlichen Updater, kann man natürlich dennoch schreiben.
So ich überlass jetzt den üblichen Argumenten das Feld.