1 - BLOB é minha preferência porque codificar para base64 aumentará tanto o espaço quanto o tempo de processamento (já que você também terá que decodificar base64 antes de descriptografar)

2 - openssl_seal não fornece a chave que foi usada para criptografar os dados. A finalidade de env_keys é armazenar o formulário criptografado da chave gerada. Quando você chama openssl_open, você fornece essa chave de envelope e a chave privada que ele precisa para descriptografar a chave do envelope. A chave privada precisa corresponder à chave pública que foi usada para gerar a chave de envelope.

3- Se sua chave privada requer uma senha, então tecnicamente seus dados são relativamente seguro. Mesmo que eles tenham a chave do envelope e a chave privada, eles não poderão usá-la... mas quão segura é a sua senha? Uma coisa a perceber é que você pode quase nunca garante um esquema totalmente seguro, mas você definitivamente pode dificultar os hackers. Use sua imaginação aqui. Btw, sua senha está em texto simples em seu código?