Você se importa com qual camada na pilha a criptografia acontece?
Além de modificar massivamente o código-fonte para descriptografar todas as consultas do banco de dados (e ignorar o aspecto do gerenciamento de chaves), a melhor opção seria criptografar a partição em que o banco de dados está hospedado.
Qual é o raciocínio por trás disso? Pode haver um caminho melhor.