Todo lo que haga para proporcionar "cifrado" que no utilice SSL/TLS es probable que sea vulnerable. Ahora tiene que preguntarse, ¿vale la pena quemar horas de desarrollo que podría estar gastando en características en una medida de seguridad de caucho y pollo? Tal vez lo sea
.NET Las API como DPAPI y la API Win32 crypt32 facilitan el cifrado de blobs de datos con claves estáticas. ¿Pero cómo van a recibir tus clientes las llaves? Cualquier cliente SOAP instalado tendrá que tener la clave grabada en su configuración, o recibirla en la insegura Internet.
Este es el problema que SSL/TLS resuelve para usted; el baile que haces con certificados TLS es lo que resuelve el problema de comunicar claves públicas sobre canales que no son de confianza.