Schick dem Nutzer eine E-Mail mit einem "Private Key".

Du bietest eine "Private Key"-Setzen-Seite an, auf der in eine Textarea der "Private Key" aus der E-Mail eingegeben wird und dann per JavaScript ein Cookie gesetzt wird.

Der Server liefert nach einem erfolgreichen Login eines Nutzers die Daten immer mit dem entsprechenden "Public Key" verschlüsselt aus. Nur der Nutzer mit dem "Private Key", der in einem Cookie gespeichert ist, kann die Daten Clientseitig entschlüsseln.

Das ganze dann noch mit einem Schlüsselpaar für den Server.

Müsste doch gehen und eigentlich auch recht zuverlässig sicher sein. So sicher wie eben der "Private Key" im Cookie ist.

Auf welche PHP- und JavaScript-Funktionien Du dabei zurückgreifen kannst weiß ich leider nicht.