Kan je eerst aangeven welke stick met welk typenummer je gebruikt?

Een McAfee Encrypted USB Stanard met de volgende specificaties:
- Password or CAC/PIV Card Authentication
- AES-256 Bit Hardware Encryption
- FIPS 140.2 Validated
- Centralized management via McAfee ePolicy Orchestrator (McAfee ePO)
- McAfee Anti-Malware Protection

Als iemand per onderdeel specifieke uitleg heeft, graag!

"Is deze stick dan wel te kraken? Zo ja, zou iemand mij wat meer kunnen vertellen over de techniek die eventueel gebruikt wordt op een dergelijk apparaat? "

Alles is te kraken. Indien er een keylogger op je systeem staat, dan kan deze het password onderscheppen wanneer je het invoert. Een hacker kan met behulp van die informatie je stick "hacken" - zonder de beveiliging van de stick zelf daadwerkelijk te breken.

Indien ik jouw USB stick zou willen hacken zou ik echt niet gaan proberen om de encryptie te doorbreken, ik zou gewoon kijken hoe ik je passphrase in handen krijg.

Indien je dreiging het zogenaamde 'lost & found' scenario betreft is het inderdaad erg lastig om tot de oorspronkelijke data te komen indien men niet in het bezit is van het wachtwoord. Een limiet op de password retry is indien juist geïmplementeerd ook niet te kraken. Hier bedoel ik mee dat de stick de inhoud van het flash geheugen vernietigt dan wel dat bij gebruik van een CAC de kaart wordt geblokkeerd. Op geen enkele wijze mag de stick terugkomen in de uitgangssituatie waarbij de teller weer op nul pogingen komt te staan.
Wel een dreiging kan een gerichte aanval vormen op de stick en de inhoud er van. Zoals hierboven door anoniem gemeld is een keylogger een gerichte poging om achter het wachtwoord te komen. Ik zou zeggen dat als een aanvaller die kan installeren op je PC je een veel groter probleem hebt dan het veilig stellen van je data op je stick. Hij hoeft maar te wachten totdat je zelf een keer je stick opent en de data kan meelezen.
Een andere dreiging zit in een zwak beveiligde ePO. Bij central management wordt in de meeste gevallen ook remote help geïmplementeerd die de gebruikers helpen bij een vergeten wachtwoord. Dus of de aanvaller probeert toegang te verkrijgen tot de centrale database met wachtwoorden of hij probeert door middel van social engineering te faken dat hij de eigenaar is van jouw stick en het wachtwoord kwijt is. Kortom ook deze procedure dient waterdicht te zijn.
Als laatste wil ik nog toevoegen dat indien de waarde van de informatie op de stick hoog is, de aanvaller meer moeite zal doen (zowel technisch als financieel) om deze in handen te krijgen.

Voor de FIPS 140-2 verwijs ik je naar http://csrc.nist.gov/groups/STM/cmvp/index.html

Bedankt voor je reactie! Je verhaal leest prettig en ben zeker verder geholpen. Echter zou ik nog graag wat meer informatie over de CAC kaart lezen? Wat houdt dit precies in? Als ik via google zoek dan krijg ik "Common Access Card" als uitleg over de afkorting, maar klopt dit ook?

En op welke manier zou de stick terugkomen in de uitgangsistuatie waarbij de teller op nul pogingen komt te staan? Dit zou niet mogelijk moeten zijn, lijkt me.. Anders heb je niets aan deze beveiliging..

"Een limiet op de password retry is indien juist geïmplementeerd ook niet te kraken."

Hoezo ? Indien je het wachtwoord weet te onderscheppen met een keylogger, of op andere wijze, dan hoef je geen brute force attack te gebruiken. Ook zijn aanvallen mogelijk waarbij je zonder het juiste wachtwoord toch toegang tot de encrypted data kunt krijgen, zoals in het verleden het geval was met een aantal soorten USB sticks, zie bijvoorbeeld :

NIST onderzoekt lekke USB-sticks
http://security.nl/artikel/32065/1/NIST_onderzoekt_lekke_USB-sticks.html

Indien je het wachtwoordmechanisme kunt omzeilen door te zorgen dat bij een foutief wachtwoord de stick dezelfde string terugstuurt als bij een correct wachtwoord, zoals de onderzoekers in bovenstaand artikel deden, dan kan je bijvoorbeeld zonder wachtwoord toegang tot de data krijgen.

Je mag natuurlijk wel hopen dat McAfee geleerd heeft van de fouten die concurrenten in het verleden gemaakt hebben, om dergelijke aanvallen te voorkomen.

Daarom zeg ik ook dat die password retry op de juiste wijze geïmplementeerd dient te zijn. In het verleden is er een aantal oplossingen geweest die e.e.a. in software hadden uitgevoerd. Door die software in een debugger te laden kan je precies zien wat er gebeurt bij de invoer van een foutief dan wel goed wachtwoord. Manipulatie van die software zoals omschreven in het NIST artikel hierboven is dan mogelijk. Maar gelukkig zijn er steeds meer fabrikanten die zoveel mogelijk in hardware uitvoeren en die is beter bestand tegen dergelijke aanvallen.
En zoals ik al eerder stelde, indien een aanvaller een keylogger op je PC kan installeren heb je een veel groter probleem dan alleen maar het achterhalen van je ww van de USB-stick.

Voor je laatste vraag refereer ik naar mijn reactie op Anoniem van 13:18u van gisteren. Indien je in software die teller op nul terug kunt zetten dan wel op nul houden, kan je net zolang brute forcen totdat je het ww hebt. Uitvoeren van dit proces in hardware levert een substantiële betere oplossing op.

CAC is inderdaad Common Access Card of te wel een Smart Card voorzien van een PKI-certificaat. In plaats van je ww in te voeren haalt je stick (of een andere applicatie die een wachtwoord nodig heeft) het certificaat van de smart card (two-factor authenticatie). In dit certificaat staat een heel lang en gecompliceerd ww (bijv. een 128-bits key). Hoe werkt dat nu?
Naast het aanbieden van de USB-stick aan je PC moet je ook de smart card aanbieden (d.m.v. een SC-reader). Om toegang te krijgen tot die SC dient de gebruiker een ww in te geven. Hiermee maakt die de SC toegankelijk voor de USB-stick applicatie die de sleutel kan uitlezen.
Een stapje verder is om de SC te combineren in de USB-stick zoals bijvoorbeeld de firma Kobil doet. Die biedt een stick aan met geïntegreerde SC of zelfs met een ingebouwde SC-reader (http://www.kobil.com/en/products/midentity-technology/midentity-fullsize.html).