Mam skrypt szyfrowania (z pomocą funkcji PHP danego szyfrowania) i do niego potrzebne są dwa klucze. Do tej pory jeden trzymałem w bazie, a drugi w pliku konfiguracyjnym.

Jednak zastanawia mnie czy nie ma jakiegoś bardziej bezpiecznego sposobu przechowywania tych danych?

Owszem jest (hardware security module), jednak jego zastosowanie jest najpewniej poza twoim zasięgiem.

Tak, poza moim zasięgiem...

jeden klucz możesz trzymać na zew. serwerze. Robisz dostęp np. przez oAuth, wysyłasz IP, zapytanie o klucz i coś tam jeszcze i zwracasz go sobie. Oczywiście po TLS