PM>а как же цифровые сертификаты?

Что — сертификаты? Даже если сообщение, которое ты получаешь по сети, подписано некоторым ключом, то это могло сделать любое приложение, имеющее доступ к ключу.

Еще раз. Ты получаешь по сети сообщение, сформированное по некоторым правилам.
Два разных приложения могут сгенерировать такое сообщение, абсолютно одинаковое. Если используется подпись — значит, где-то должен быть ключ и значит, этот ключ можно выковырять и использовать другим приложением.
Ты по сети получаешь только это сообщение и, соответственно, никак не можешь определить, кто, как, когда его сгенерировал.

Мораль — не проверяй приложение, проверяй пользователя (логин/пароль, сертификат, Kerberos, чего угодно другое).