Хранение секретного ключа сервера в rawId пользовательского ключа доступа

Я хочу внедрить поддержку паролей для полного замещения паролей, но у меня есть состояние на стороне сервера, которое все еще необходимо зашифровать для конкретного пользователя так, чтобы оно не могло быть расшифровано или воспроизведено на стороне сервера без сеанса пользователя. Внешний вид системы таков: когда пользователь входит в систему, мы генерируем симметричный ключ шифрования с его паролем, используем его для расшифровки закрытого ключа и используем этот закрытый ключ для шифрования/расшифровки дальнейших ключей шифрования, специфичных для данных.

Цели этой системы:

1. Исключить пароли
2. Иметь сильную связь между данными, зашифрованными на сервере (которые никогда не доступны пользователю напрямую), и их паролем
3. Обеспечить некоторую нерепудицию для использования ключа, никогда не сохраняя ключи на стороне сервера. По сути, должно быть невозможно расшифровать или воспроизвести любое действие пользователя без его присутствия.
4. Обеспечить бесполезность данных, зашифрованных на сервере, без наличия пароля пользователя. (Случай утечки данных)

Угрозы:

1. Утечка данных на стороне сервера
2. Пользователь, пытающийся заявить, что он не выполнял действие, когда на самом деле выполнял
3. Нападающий, получивший доступ к учетным данным пользователя, таким образом, что он мог бы расшифровать асимметричный ключ пользователя и использовать его в сочетании с утечкой данных
4. Работающее серверное программное обеспечение не считается угрозой

Идея заключается в использовании rawId, связанного с паролем, для хранения симметричного ключа, который будет функционально аналогичен паролю пользователя в описанном выше потоке (но не будет использоваться для аутентификации, просто используйте подписи WebAuthn для этого). Этот ключ никогда не будет доступен пользователю (вместо этого отображается удобный для пользователя идентификатор) и индексируется доверенной стороной, поэтому он не должен передаваться организации, которая не нуждается в нем. Процесс будет генерировать 256-битный ключ, который будет зашифрован с помощью серверного ключа на случай, если в экосистеме WebAuthn произошло заболевание, которое в результате повлечет случайное раскрытие этого ключа ненадлежащей доверенной стороне (пользователь сам по себе не считается угрозой в модели безопасности). Этот ключ и 64-битный идентификатор сервера будут упакованы в rawId пароля и сохранены с пользователем. Система будет использовать открываемые идентификаторы для входа пользователя и доступа к этому идентификатору.

На стороне сервера процесс аутентификации будет выглядеть так:

1. Использовать обнаружение пароля для выполнения сессии аутентификации, что приведет к подписи вызова и rawID.
2. Использовать идентификатор контекста из rawID для поиска записи криптоконтекста и расшифровки симметричной части ключа rawID с помощью серверного ключа из начального этапа.
3. Использовать серверную секретную информацию для HMAC rawID в идентификатор пользователя для поиска открытого ключа пользователя. Существует параллельное отображение от этого идентификатора к реальному идентификатору пользователя в системе хранения пользователей.
4. Завершить аутентификацию в соответствии со стандартом WebAuthn с открытым ключом пользователя.
5. Расшифровать закрытый ключ пользователя из базы данных с помощью симметричного ключа, упомянутого выше, и отбросить этот ключ. Поместить асимметричный ключ в зашифрованный и временно ограниченный сеансовый cookie пользователя для его дальнейшего использования. (Сеансы шифруются с использованием ключа, который находится в памяти сервера и который автоматически меняется ежедневно и никогда не сохраняется)

Восстановление пароля будет использовать случайно сгенерированный код, который в конечном итоге будет оборачивать асимметричный ключ так же, как это делает код, относящийся к паролю. Если пользователь потеряет этот код, то ему не повезло.

Это плохая идея? Есть ли что-то, что я упускаю и что ставит под угрозу безопасность этой системы?