No. PGP renderà la tua sessione più che buona. Quindi non usare PGP. La crittografia assimmetrica non è richiesta poiché il mittente delle informazioni crittografate (che crittografa) e il destinatario delle informazioni crittografate (che dovrebbero essere in grado di leggerle), è la stessa entità (il tuo server).
Questo significa che se vuoi cifrare qualcosa da memorizzare in un cookie, usa invece un codice simmetrico come AES256.
Ma la cosa migliore da fare è non memorizzare affatto i dati nei cookie, invece, memorizzarli sul server, generare un "ID di sessione" sufficientemente sicuro e casuale e legare "l'ID di sessione" al blob di dati su server.
L '"ID di sessione" è quindi ciò che viene inviato tramite il cookie. Poiché l'ID della sessione è effettivamente casuale, non ha alcun significato particolare per nessun altro rispetto al tuo server, quindi non è necessario che sia crittografato.
Anche scrypt è una funzione di derivazione della password, non una funzione di crittografia, ed è effettivamente a senso unico.
Per impedire a qualcuno di eseguire il hogging delle risorse sul server, puoi sospendere le sessioni dopo un breve periodo e avere anche una funzione che se un IP specifico richiede una nuova sessione, tutte le vecchie sessioni da questo IP vengono eliminate.