Du müsstest eigentlich deine Frage genauer stellen.
Sicherheit wie auch "Performance" sollten immer in dem Kontext der konkreten Aufgabenstellungen gesehen werden und dann gegen konkrete Angriffsziele abgesichert werden.
z.B.
- Übertragungsweg -> Sichere Protokolle wie SSH, SSL
- Integrität der Daten (kein nachträgliches ändern durch unbefugte) -> Message Digest
- Lesen durch unbefugte -> Zugriffssteuerung oder/und Verschlüsselung
- Identität des Autors -> Public Key Infrastructur.
- und einiges mehr, aber relativ überschaubar.
Wenn du Daten zwar feldverschlüsselst, aber den Zugriff über ein offenes Protokoll wie HTTP freigibst, dann können Leute möglicherweise Dokumente abfangen, ein bischen ändern und dann auf dem Server abspeichern. Der Inhalt eines verschlüsselten Feldes würde dann vielleicht keinen Sinn mehr machen, aber für Verwirrung sorgen.
Feldverschlüsselung wurde aus meiner Sicht relativ wenig verwendet, da für die meisten Anwendungsfälle Authentifizierung/Autorisierung ausreichend ist. Jedoch gibt es Fälle, in denen es Sinn macht Daten tatsächlich zu verschlüsseln und in manchen Bereichen gibt es dazu auch entsprechende gesetzliche Vorschriften.
Btw. hat inzwischen im XML Bereich Notes-Feldverschlüsselung ein eindeutiges Pendant bekommen und zwar die XML-Signature/Encryption Spezifikationen. Hat mir geholfen endlich zu verstehen, was Feldverschlüsselung eigentlich ist. Viele Leute sehen den Sinn nicht, da sie z.B. für Webservices die Kombination sicheres Protokoll + sichere Authentifizierung/Autorisierung für ausreichend halten. Für einige, eher wenige Anwendungsfälle braucht man aber schon eine explizite Verschlüsselung der Daten oder zumindest digitale Unterschrift / Message Digest zum Schutz gegen unbefugtes nachträgliches ändern.
