Das war für mich als Entwickler der DB gemeint und nicht für den User / Client. Der Client kommuniziert nur mit einem WCF Service und dieser (WCF Service) hat dann den direkten Zugriff zur DB.

@sx2008: Danke dieser Ansatz gefällt mir schon ganz gut, ich denke ich hatte auch einen Denkfehler oder einfach noch nicht genügend Hintergrundwissen.
Meine eigentliche Idee war ja das BLOB Feld 'selbst' zu verschlüsseln beim einfügen über das SQL Statement, das scheint aber ja so (zumindest bei BLOBs) nicht vorgesehen zu sein, auf dem Weg zum Service hätten die Daten auch abgegriffen werden können.

Ich werde wohl die Verschlüsselung auf dem Client vornehmen somit sind die Daten auch auf dem Weg sicher, der Schlüssel sollte natürlich so generiert sein, dass man das nicht selbst rekonstruieren sein, also wie im Vorschlag von sx2008 über das PW und ein paar andere Indikatoren. (Entspricht ja eigentlich auch dem Vorschlag von sx2008, ich wollte nur aufzeigen, dass ich meinen ersten Ansatz [oben Beschrieben] verworfen habe)