AL> Я думал сделать дополнительную схему, где по authstr отдавать только те сообщения, которые совпадают с пользователем.

Ради одной-двух эх вводить такое вряд ли имеет смысл, но попробовать можно.

В веб-интерфейсе с шифрованием как таковым дело туго обстоит. Если человек на своём десктопе, то ему ничего страшного, у него есть PGP-софт. Но когда с чужого компьютера сидишь, то уже никак. Сохранять ключи на сервере не вариант, потому что безопасность страдает.

Если уж очень хочется что-то сделать с этим (например, сохранять ключи в куках), то надо будет использовать внешнюю javascript-библиотеку, потому что самостоятельно мы это не потянем.