Un poco fuera de tema… pero quizás te interese Discourse Encrypt (deprecated) para mensajes verdaderamente ‘privados’. Las copias de seguridad filtradas o robadas de mensajes privados cifrados no serían legibles para un atacante.
(aunque, como mencionaste, todavía se asume que los administradores son de confianza)