Mégis, ha nagyjából tudható a biztonság tényleges mértéke, akkor úgy gondolom, hogy működőképes dologról van szó.
Ez egy kicsit túlzott önbizalomként hangzik, erősen kétlem, hogy valóban fel tudod mérni a biztonság tényleges mértékét.
Amúgy szerintem jó ötlet, legalább by default nem kerül bele a tartalom mindenféle adatbázisokba (mint mondjuk pl ez a hozzászólás: a hup szereven + NSA full capture + akit meg erdekel.) Ha valaki tőled akar valamit, legalább vegye a fáradtságot, hogy téged személy szerint figyeljen meg. Ha így lenne, az ellen meg egy katonai szervezet erőforrásai sem elegek.
Tehát szerintem emiatt meg az általad felsorolt pontok miatt is fölösleges túl magasra rakni a lécet, válassz vmi aktívan fejlesztett/népszerű js crypto libet, és használd jól az implementált algoritmusokat. Mondjuk ez utóbbi már nem triviális (ld ps3 törés), de ha elolvasod az algoritmushoz tartozó wikipedia oldalt, akkor talán leírják, hogy mikor mit kell frissen generálni, ellenőrizni, stb.