Wenn der Anwender deiner APP beim starten eben dieser ein gutes Passwort eingeben muß, dann kannst du das rel. sicher bekommen. Dieses Passwort, bzw. eine Ableitung davon im Zusammenhang mit einem Teil des KeyFiles auf dem Stick wird dann den Rest des Keyfiles laden und entschlüsseln. Darin befindet sich dann ein guter Zufallskey.

Also: Das KeyFile besteht aus Zufall, möglichst gutem Zufall, zb. 1024 Bytes groß. Die ersten 512 Bytes dienen als Salt der im Zusammenhang mit dem eingegebenen Passwort zu einem Sessionkey umgewandelt wird (Hash-KDF). Mit diesem wird dann zb. per AES der zweite 512 Bytes große Teil des KeyFiles verschlüsselt.
Du kannst das dann weiter ausbauen. Zb. wird der 2. Teil a 512 Bytes Zufall mit einem anderen Passwort ebenfalls auf gleiche Weise verschlüselt und hintendran gespeichert. So können 2 Benutzer dieses KeyFile entschlüsseln.

Aber wichtig ist eben das irgendwo durch den Anwender ein Passwort eingegeben werden muß. Sieh zu das bei dieser Eingabe nicht pure Windows-Edit Controls, die das Keyboard benutzen, benutzt werden. Einfach um Trojaner/Keylogger auszuschalten. Zb. eine Kombination aus keyboard und Mausaktionen wäre eventuell geeignet. Dh. ein Ziffernpad dessen Ziffer-Buttons sich zufällig jedesmal anders benennen. Man sollte sich wirklich mal an die Arbeit machen und ein kryptographisch sicheres Keypad bauen dessen Kommunikation mit der Zielsoftware kryptographisch abhörsicher ist. Hm, zb. einen Palm mit Touchscreen ist ne gute Idee.

Gruß Hagen