Wir sollten das mögliche Modell aber ruhig mal zuende diskutieren.

Du willst also Daten in der Datanbank verschlüsselt ablegen. Dann wäre erstmal das Datenmodell zu überdenken. Die Datenbank wird sich schwer tun, mit verschlüsselten Schlüsseln die Datenintegrität / referenzielle Integrität zu wahren. Da muss man sich also schon mal etwas ausdenken.

Ein Teil der Daten darf also vermutlich nicht verschlüsselt sein.
Das Gleiche gilt vermutlich auch für die Requests. Spätestens außerhalb der VPN-Strecke müssen zumindest die Verwaltungsdaten wieder unverschlüsselt vorliegen.

Welchen Teil willst Du nun verschlüsseln?

Den Inhalt der Nachricht. Die Metadaten nicht. Aktuelle wären die Nachrichten den UserIds zugeordnet.

Und wo ist der "sicherste" Platz für den Schlüssel?
Im Kopf des jeweiligen Dateneigentümers?

Schon klar, die sollen davon aber, wie schon gesagt, nichts mitbekommen.

MfG Naps