Тут все очевидно просто. RSA-1024 бита рулит! Шифруем Python скрипт, компилим ROOTFS образ линукса. Компилим ядро линукса, со встраимаевой проверкой ROOTFS по хэшу MD5, прогнанного через RSA-1024. Хэш файла с расшифрованным совпадает? Идет комманда на запуск файла. ROOTFS модифицирован? Хэш не совпадает? Комманда на запуск не дается.
Человек при всем желании сможет только узнать публичный RSA ключ, а им можно только расшифровывать. Приватный ключ дает право защифровывать, он и не нужен юзеру как раз.