Независимо от того, хотите ли вы сохранить это в тайне или нет, вам все равно придется зашифровать и запутать его, просто чтобы защитить себя от случайных хакеров.
С другой стороны, я не верю, что вы можете остановить решительного хакера. Комбинация джейлбрейка, GDB и анализатора трафика победит практически любую защиту, о которой вы только можете подумать. Инвестирование в такую защиту редко имеет смысл, поэтому вам придется искать компромисс между тратой много времени и усилий и взломом ключа API.
Лично мне нравится идея иметь ключ API в запутанном виде внутри двоичного файла приложения, поскольку двоичный файл, который вы получаете из App Store, зашифрован. Небольшая хакерская функция ptrace () с PT_DENY_ATTACH может еще больше усложнить (но никогда не помешает полностью) получить доступ к вашему приложению через gdb. Скорее всего, этого будет достаточно, чтобы ваше приложение не перемещалось по Интернету торрентами в расшифрованном виде. Тогда вам придется использовать HTTPS только потому, что прослушивание трафика смехотворно легко и даже не требует взлома.
Еще одно важное соображение. Если о HTTPS не может быть и речи, и вам нужно отправить ключ API в HTTP-запросах, забудьте обо всем вышеперечисленном. Не имеет смысла защищать ключ в комплекте приложений, если он отправляется в виде простого текста по сети.