Ich weiß wie PKI und Verschlüsselung funktioniert.

Ich habe ein anderes Problem. Es geht darum Daten auf einem kompromitierten system zu schützen.
Wenn du den Rechner oder die VM mit nimmst sollst du nicht die Datenbank auslesen können.
Wenn du ein unglücklicher MA bist mit Zugang zum Server, sollst du die Daten nicht (einfach) veröffentlichen können.

Oder übersehe ich da etwas? Misverstehe ich dich?