Der Cookie-Value sollte nicht synchron verschlüsselt sein, sondern mit einer Hash-Funktion, eine Encryption also, die nicht rückgängig gemacht werden kann.

Der Cookie-Wert sollte lediglich ein nicht erratbares Identifkationsmerkmal sein - was da drinnen steht, ist unerheblich.+

Sinnvollerweise hasht man einfach eine Zufallszahl und prüft, ob das Ergebnis bereits an einen anderen Benutzer vergeben wurde.

Ob das jetzt ein 128-stellige Binärzahl, eine 39-stellige Dezimalzahl oder eine 32-stellige Hexadezimalzahl ist, hat keine Bedeutung. Eingebürgert hat sich aber eine 32-stellige Hexadezimalzahl.

Man könnte aber genauso eine Zahl mit Basis 62 verwenden (0-9,a-z,A-Z) damit der String im Cookie sehr kurz wird - aber da muss man schon ein arger Sparfuchs sein :)