Eine Verschlüsselung ist nur gut, wenn sie zufällig ist.
Das in der verschlüsselten Form viele doppel- und dreiungen auftauchen ist schonmal eine massive Schwachstelle.

Kennst Du die Schwachstelle der Enigma, wegen der die Nachrichten letzten Endes ohne Kenntnis der Schlüssel entschlüsselt werden konnten? Es war der einfache Fakt, dass die Maschine lediglich niemals ein A auf ein A veschlüsselt hat. Die Schlüssel waren immer länger als die Nachrichten (durch die rotierenden Walzen).

Die Methode eine symmetrische Verschlüsselung zu 100% unknackbar zu machen ist es, für die Verschlüsselung mittels XOR einen zufällig generierten Schlüssel zu benutzen der länger ist als der zu verschlüsselnde Text.

Dein Problem ist also nicht die Verschlüsselung an sich, sondern einfach der Schlüssel.
Benutze einen guten (=nahe an der Normalverteilung) Zufallszahlengenerator, der sich mit einem schön großen Seed initialisieren lässt und pro Initialisierungs-Wert dennoch die gleiche Sequenz erzeugt.

Dies liefert Dir soviele unterschiedliche mögliche Schlüssel wie Du Seeds benutzen kannst.
Dann verwende einen ordentlichen Hash-algoritmus, der aus einer beliebigen Schlüsselphrase einen Seed-Erzeugt.
Voilá: Du hast eine ziemlich sichere Verschlüsselung.

Baust Du das modular, so dass Du den Zufallszahlengenerator und den Hash-Algorithmus austauschen kannst, so kannst Du mit der Zeit immer wieder auf einen anderen / sichereren Generatoren bzw. Algorithmus umsteigen.