Es kommen noch zwei wesentliche Punkte hinzu:

Ein Diebstahl des öffentlichen Schlüssels, den der Betreiber der Website speichert und nur diesen hat er, bringt absolut überhaupt nichts für den Dieb.

Ein Abhören der Verbindung zwischen User und Betreiber bringt auch nichts, weil sich der Schlüssel bei jedem Aufruf ändert.

Dieses Verfahren ist auch nichts neues, wird in ähnlicher Form bei SSL, Geldtransfers zwischen Bank, Onlinebestellungen, etc. angewendet. Auch Apple Pay und der neue Personalausweis nutzen solche Sachen.