Un po’ fuori tema… ma potresti essere interessato a Discourse Encrypt (deprecated) per messaggi davvero ‘privati’. Backup trapelati o rubati di messaggi privati crittografati non sarebbero leggibili da un attaccante.
(sebbene, come hai detto, si dà ancora per scontato che gli amministratori siano fidati)