Da die HTML-Datei vom Client nicht aus dem Web angefordert werden kann, sondern eben lokal auf einem Rechner liegt

Es oft eine spezielle Situation, in welcher irgendwas womöglich funktioniert.

Ich aber fragte hinsichtlich der Arbeit an halbwegs einfach zu verwendenden und halbwegs universellem Login-System. Und da kommt es eben nicht in Betracht, die HTML-Seite mitsamst dem Jacascript und dem öffentlichen Schlüssel auf den Rechnern der Benutzer ablegen zu wollen.

wie genau wäre Man-in-the-Middle bei einer HTTPS-Verbindung weniger "leicht" und weniger "möglich"?

Um die geht es ja nicht. Dieses CrypptoJs-Dingens sollte ein HTTPS-Ersatz sein, ist aber zu anfällig gegen relativ leichte Angriffe.

HTTPS ist dagegen geradezu sicher, jedenfalls wenn die Benutzer sich halbwegs intelligent verhalten.

Jörg Reinholz