Hi

Wie soll der Server die Daten denn entschlüsseln, wenn er den Schlüssel nicht hat?

Ich verstehe jetzt Deinen Einwand nicht.

Es ist jetzt natürlich alles etwas Raterei über das genaue Szenario hier. Aber wenn ich den Server mit (wie auch immer verschlüsselten) Daten versorge, die er einfach ungesehen ausliefern soll, dann ist bei der Server-Client-Kommunikation überhaupt kein Verschlüsselungsaspekt im Spiel: Der Server sendet einfach (aus seiner Sicht) Rohdaten, und die ursprüngliche Frage des OP, ob man mit PHP verschlüsselte Daten senden könne, ist völlig leer.

Und so liest sich die Frage

ist es möglich, per PHP einen String verschlüsselt auszugeben[?]

auch nicht, oder?

Sein Plan ist offenbar, dem Server vorliegende Klartext-Daten per PHP zu verschlüsseln, um sie dann vom Client per Javascript wieder entschlüsseln zu lassen. Und bei Verschlüsselung gilt immer: Besser, als dem Feind verschlüsselte Daten zu liefern, ist, ihm gar keine Daten zu liefern.

Natürlich mag es auch nach einer Authentifizierung des Clients noch notwendig sein, die Daten zu verschlüsseln, um sie beim Transport vor Dritten zu schützen. Aber: Ein Schlüssel ist nicht dasselbe wie ein Passwort, und muss im allgemeinen sehr viel länger sein aus Gründen, die Alexander geschildert hat: Wenn jemand den verschlüsselten Text in Händen hält, hat man keine Möglichkeit, Brute-Force-Attacken zu verhindern, der Schlüssel muss ihnen also standhalten*. Daher ist ein guter Schlüssel je nach Szenario nicht 10 Bytes lang wie ein handliches Passwort, sondern vielleicht 500 oder dergleichen. Und eignet sich daher nicht, um den Client händisch damit hantieren zu lassen.

* Dieser Aspekt kommt ein bisschen auf die Natur der Daten an: es kann theoretisch sein, dass man nach einer Dechiffrierung mit einem geratenen Schlüssel nicht entscheiden kann, ob der erzeugte Klartext der richtige ist oder nicht. Das ist aber sehr sehr sehr sehr unwahrscheinlich: Bei irgendwelchem Text (im Sinne von: natürliche Sprache) im Klartext ohnehin, aber auch bei jeder anderen Art von (nicht zufällig generierten) Daten ist es praktisch nie der Fall.

Viele Grüße,
der Bademeister