la lucha contra el phishing malwares puede existir en la PC cliente
Fundamentalmente esto es imposible. Si la máquina cliente se ve comprometida en un punto donde el código puede ejecutarse como root o el usuario al que intenta acceder a su aplicación, debe asumir que un actor suficientemente determinado podrá leer cualquier cosa que su aplicación pueda.
hacer que los datos de los usuarios no se puedan rastrear, lo que impide que alguien sepa qué datos pertenecen a qué persona.
Entonces, ¿cómo sabrá su aplicación qué datos entregar al usuario? Puede hacer que los usuarios inicien sesión con un alias, pero ese es el caso con cualquier sistema de nombre de usuario / contraseña que no verifique la identidad de los usuarios.
¿Es AES bueno para encriptar archivos o me puede sugerir algo mejor?
AES-256 (en los modos correctos para el uso) se considera seguro. "Más seguro" y "Menos seguro" no son realmente una cosa. O algo se ve como "improbable que sea rompible en el corto plazo con la progresión tecnológica esperada" o no.
Pero también debe decidir dónde cifrará estos datos (cliente o servidor), dónde almacenará las claves para el cifrado y si cifrará la comunicación con el servidor. ¿Cuál es el sistema de comunicación entre el cliente y el servidor? Es casi seguro que desee utilizar algún tipo de SSL.
Si los datos están cifrados con claves o contraseñas proporcionadas por el usuario (suponiendo que no las almacene), serán completamente irrecuperables si olvidan su contraseña. Si usa el servidor almacenado, si la arquitectura de su servidor se ve comprometida, es probable que obtengan las claves y los datos y puedan recuperarlos.
Le sugeriría que necesite sustancialmente más lectura / aprendizaje hasta que comprenda completamente estos temas y las consecuencias respectivas en las decisiones antes de continuar.