No se encripta ningún id.
Se crea un hash que identifica al formulario.Los campos *clave* del formulario, por ejemplo, el id de usuario, *no se envía al cliente*, sino que se guardan en la sesión bajo esa clave creada con un hash.Si editas al usuario con id 10, ese id no se envia al html (ni sin encriptar, ni encriptado).Evitas tanto que se manipule el id por el lado del cliente, como ciertos tipos de ataques CSRF.