fight against phishing malwares may be exist on client PC
Fondamentalmente questo è impossibile. Se la macchina client viene compromessa in un punto in cui il codice può essere eseguito come root o come utente che intende accedere alla tua applicazione, allora dovresti assumere che un attore abbastanza determinato sia in grado di leggere qualsiasi cosa possa fare la tua applicazione.
making user data untraceable - preventing anybody to know what data belong to what person.
Quindi in che modo la tua applicazione saprà quali dati fornire all'utente? Puoi fare in modo che gli utenti eseguano l'accesso con un alias, ma è il caso di qualsiasi sistema di nome utente / password che non verifica l'identità dell'utente.
Is AES good for encrypting files or could you suggest me better?
AES-256 (nelle modalità corrette per l'utilizzo) è considerato sicuro. "Più sicuro" e "Meno sicuro" non sono davvero una cosa. O qualcosa viene visto come "improbabile che possa essere facilmente infranto in tempi brevi con la prevista evoluzione della tecnologia" oppure no.
Tuttavia, è necessario decidere dove crittografare questi dati (client o server), dove verranno archiviate le chiavi per la crittografia e se si crittograferà la comunicazione con il server. Qual è il sistema di comunicazione tra client e server? Quasi certamente vorrai usare una qualche forma di SSL.
Se i dati sono crittografati con chiavi o password fornite dall'utente (supponendo che non vengano archiviati), saranno completamente irrecuperabili nel caso in cui dimenticassero la loro password. Se si utilizza il server archiviato, se l'architettura del server dovesse essere compromessa è probabile che otterrà le chiavi e i dati e sarà in grado di ripristinarlo.
Suggerirei di avere bisogno di più letture / apprendimento finché non comprenderete pienamente questi argomenti e le rispettive conseguenze nelle decisioni prima di procedere ulteriormente.