Ich würde wohl auf Crypt::OpenSSL::RSA oder Crypt::RSA zurück greifen. Auf Anfrage sendet der Server den Public Key, der Client verschlüsselt damit und sendet diese Daten.

Die Schlüsselverwaltung würde ich so gestalten das der Client eine ID Erzeugt und jedem Request mit gibt. Der Server benutzt die ID um den Privatekey zuordnen zu können. Das Schlüsselpaar verfällt nach nach einer bestimmten Zeit und eine Übermittlung mit dem Schlüssel schlägt fehl.

Sollen Daten vom Server zum Client transferiert werden muss der Client für den Server ein Schlüsselpaar generieren.