Hallo,

aber der User soll so wenig wie möglich davon mitbekommen. Er soll sich nicht um die Verschlüsselung kümmern müssen.

Dann hat sie für die User auch keinerlei Nutzen und schützt die Daten auch nicht, wenn dein Server oder irgendeine Stelle in der Kommunikation kompromittiert wird.

Da der user eingeloggt sein muss, kann ich ihn jederzeit identifizieren. Aber wie und wo speichert man das Passwort? Liegt hier nicht genau die Schwachstelle?

Wenn man anfängt, Nachrichten zur Speichern in der Datenbank mit Schlüsseln zu verschlüsseln, die auf den eigenen Servern liegen oder auch nur irgendwann temporär im Speicher vorliegen, kann man das ganze Verschlüsseln gleich sein lassen. Wovor schützt die Verschlüsselung dann noch? Nicht vor Angriffen auf Server bzw. Datenbank.

Mathias