Schick dem Nutzer eine E-Mail mit einem "Private Key".

Jetzt kommen wir schon zu asynchronen Verfahren wo ein Key an den Benutzer per Mail verschickt wird. Warum glaubst du wohl, darf man im elektronischen Zahlungsverkehr Kreditkartennummern nur über HTTPS übermitteln und auf keinen Fall auch nur in irgend einer Weise per Mail verschicken?

Warum glaubst Du ist auch für eine https-Verbindung ein anfänglicher Handshake nötig, bei dem jeder, der diesen mitliest, angegriffen werden kann?

Der Server liefert nach einem erfolgreichen Login eines Nutzers die Daten immer mit dem entsprechenden "Public Key" verschlüsselt aus. Nur der Nutzer mit dem "Private Key", der in einem Cookie gespeichert ist, kann die Daten Clientseitig entschlüsseln.

Und jeder andere der den Key zuvor mitgeschnitten hat, das E-Mail findet oder einfach das Cookie klaut. Ein Cookie - gehts noch? Da wird der Key ja wild und unverschlüsselt bei jedem Request mitgeschickt - super Plan ;) Local Storage würde ich mir noch eingehen lassen, aber auch das wäre in anbetracht der Sicherheit absolutes Gehirnbluten.

Wie bei https. Wer den Handshake als Man-In-The-Middle mitbekommt kann alles tun.
Wer schickt Cookies bei jedem Request mit?

Das ganze dann noch mit einem Schlüsselpaar für den Server.

Wozu braucht der Server ein Schlüsselpaar? Ein Schlüsselpaar ist für Client und Server (oder umgekehrt gedacht) wenn einer allein ein Paar hat bringt das nichts.

Der Server hat einen eigenen Private Key und einen Public Key, mit dem der Client Daten an den Server verschlüsseln kann.
Und umgekehrt hat der Client einen eigenen Private Key und einen Public Key, mit dem der Server Daten an den Client verschlüsseln kann.

Müsste doch gehen und eigentlich auch recht zuverlässig sicher sein. So sicher wie eben der "Private Key" im Cookie ist.

Also garnicht, den jeder kann Cookies beliebig von der Platte lesen. Da die dort im Klartext vorliegen.

Wer kann denn alles meine Cookies auslesen? Jeder der physischen Zugriff auf meinen PC hat. Aber nicht andere Webistes auf anderen Domains?
Der Handshake liegt auch im Klartext vor, bis dann die verschlüsselte Verbindung aufgebaut ist. Also warum darf ich über https Bankgeschäfte abwickeln?