Ok, nenhuma resposta dizendo que isso é horrivelmente exposto de alguma forma, exceto pelo fato de que, se alguém entrar no login do usuário, ele receberá a chave PEM do usuário. O que não deve deixá-los em nenhum outro lugar *.
Está trabalhando com a abordagem acima.
* Advertências usuais aplicam-se