Если же у злоумышленника будет и ключ, то реверс приложения вполне реален. Все верно?

Скорее вероятность немного повышается, т. к. в принципе не существует способа на 100% защититься. Т. е. безотносительно применения (или нет) аппаратных ключей, взлом остается вероятным, но ключи позволяют очень сильно усложнить жизнь злоумышленника (=увеличить стоимость процесса реверса многократно).

Например, протектор кода, не использующий внешнее устройство для хранения секретных ключей, очевидно хранит их прямо в теле приложения и тут есть смысл при анализе кода искать именно их

В свою очередь внешнее устройство может быть «глупым хранилищем» и только отдавать секретные ключи в оперативку клиентского ПК (что не сильно отличается от чисто софтверного варианта защиты), либо это полноценный аппаратный ключ, выполняющий криптографические операции самостоятельно в своей памяти.

В последнем варианте (а это как у нас), компрометация секретных ключей исключается.
Тут есть еще нюанс — мы не расшифровываем все защищенные участки кода разом, более того, даже функция, которая была защищена нашим протектором, исполняется поблочно и ее «тело» не появляется в оперативке целиком. Но даже в расшифрованном виде это не будут инструкции исходной функции, это будут виртуализированные блоки.

В общем резюме такое — с ключом злоумышленнику как бы должно быть полегче, но протектор+ключ его заставят очень сильно попотеть.

Ключ сам по себе не инструмент защиты кода от дизасемблирования, но поставщик части механизмов для решения этой задачи более надежным образом.

Как вы сами уже писали, для защиты именно кода приложения есть разные подходы и технологии, в частности обфускация и шифрование, а еще мутации кода, виртуализация, упаковка и другие истории про это. Как правило эти приемы защиты реализуются в виде специальных утилит, на входе которым передается уже скомпилированные файлы не защищенного приложения, а на выходе получаем защищенные от дизасемблирования версии этих же файлов.

Мы предоставляем такие утилиты вместе с ключами, и в этом как раз их особенность — все, что связанно с шифрованием и подписью защищенного кода, реализуется на уровне ключа, а не софтверно в ОС ПК пользователя. Т. е. при защите все, что нужно зашифровать, шифруется внутри ключа, а уже на машине пользователя аналогично расшифровывается в момент работы защищенного приложения. Без нужного ключа код не расшифруется и соответственно не сможет быть выполнен.

Это все в общих чертах, а еще есть пара вебинаров, где рассказываем, как это все работает для native и .Net приложений.

У вас уже есть ключи Guardant или находитесь еще на стадии выбора решения?