Instalacja zarówno SB, jak i PPC przebiega szybko i do jej przeprowadzenia nie są konieczne dodatkowe komponenty software'owe (np. zewnętrzna baza danych). Ciekawe jest, że każdy z producentów prezentuje inną koncepcję repozytorium danych i dostępu do nich.

W przypadku SGN jest to baza MS SQL, z którą klienci nie mają bezpośredniego połączenia. Połączenie z bazą posiada natomiast serwer IIS, który komunikuje się z nią za pośrednictwem mechanizmów ODBC. To właśnie do tego serwera IIS odwołują się klienci (poprzez SOAP) podczas pobierania/wysyłania informacji. Zatem jedynymi wymaganymi portami pomiędzy klientem a resztą infrastruktury są 80 i 443 TCP.

SB korzysta z płaskiego, zaszyfrowanego pliku o strukturze zbliżonej do X500. Jak podaje producent, jako alternatywne repozytorium danych może zostać użyta baza LDAP. Z bazą SB komunikuje się dalej tzw. security server, za pomocą którego wymieniane są dane ze stacjami klienckimi. Podobnie jak SGN sposób komunikacji pozwala na precyzyjne wyselekcjonowanie otwartych portów na zaporach sieciowych.

PPC z kolei używa pojedynczych, zaszyfrowanych plików zawierających różnego rodzaju informacje umieszczone, jak już wspomnieliśmy, w strukturze katalogowej na udziale sieciowym. Każda stacja posiada również lokalną minibazę zawierającą podstawowe dane do pracy offline oraz przeszukuje określony katalog na udziale sieciowym w poszukiwaniu zmian konfiguracyjnych; umieszcza tam również swoje logi.

Wsparcie systemów operacyjnych dla maszyn klienckich (komputerów PC) niestety ogranicza się do Windowsów z jednym chlubnym wyjątkiem - Pointsec ma w swojej ofercie również wersję dla Linuksa, a SafeBoot planuje lukę tę uzupełnić w niedalekiej przyszłości. Brak wsparcia dla tej platformy często tłumaczony jest małym zapotrzebowaniem, gdyż procent użytkowników posiadający ten system na komputerach przenośnych w korporacjach jest stosunkowo niewielki.

Znacznie lepiej przedstawia się sytuacja w przypadku urządzeń mobilnych. Tutaj każdy z producentów zbiera punkty, ale to osobny temat.

A jak wygląda instalacja oprogramowania klienckiego? Sprawa jest prosta w przypadku każdego z produktów.

W SB mamy możliwość wygenerowania niewielkiej (ok. 5 MB - duży plus) paczki instalacyjnej zawierającej przygotowaną przez nas konfigurację wraz z oprogramowaniem klienckim (w postaci pliku wykonywalnego *.exe), którą następnie należy uruchomić na stacji docelowej.

W przypadku SGN instalacja składa się z dwóch etapów - w pierwszym instalowany jest domyślny klient SGN, niezawierający żadnych danych konfiguracyjnych, a jedynie przygotowujący stację roboczą do podjęcia współpracy z SGN. Następnie z poziomu serwera przygotowywana jest paczka instalacyjna, która zawiera takie informacje, jak dane serwera nadrzędnego czy politykę, która ma być dołączona do paczki. Obydwa pliki to paczki MSI (z oprogramowaniem klienckim ok. 70 MB, z konfiguracją ok. 1 MB). Zastosowanie tego formatu daje możliwość ich instalacji za pomocą mechanizmów dystrybucyjnych AD (GPO).

Z kolei w przypadku PPC zarówno do instalacji stacji zarządzającej (tzw. master installation), jak i stacji klienckich służy ta sama paczka *.MSI (ok. 30 MB). Tym, co pozwala na zróżnicowanie ustawień konfiguracyjnych dostarczanych w momencie instalacji, są pliki profili instalacyjnych (które mogą być umieszczone na udziale sieciowym wraz z paczką instalacyjną) tworzone z poziomu konsoli. Podczas instalacji paczki MSI automatycznie sprawdzana jest obecność profilu instalacyjnego w tym samym katalogu. Jeżeli zostanie znaleziony wówczas instalacja przebiega według wskazanej w nim konfiguracji.

Certyfikowane bezpieczeństwo

Zanim przejdziemy do mechanizmów szyfrujących, poświęćmy jeszcze chwilę na przegląd ogólnego poziomu bezpieczeństwa gwarantowanego przez nasze trzy produkty, a poświadczonego otrzymanymi certyfikatami. Tych na rynku jest wiele, ale wśród nich najbardziej cenione są trzy: CC (Common Criteria ISO/IEC 15408), FIPS 140-2 (Federal Information Processing Standard), pozwalający na używanie produktu w instytucjach rządowych i będących pod specjalnym nadzorem (np. służba zdrowia) oraz BITS, będący potwierdzeniem spełnienia wymagań bezpieczeństwa produktu do funkcjonowania w instytucjach finansowych.

Poziom certyfikacji (stan z października 2007 r.)

Jak widać zarówno SB, jak i PPC posiadają pełną gamę certyfikatów, w tym CC EAL 4 (najwyższy poziom dla rozwiązań komercyjnych). Brak certyfikacji dla produktu SGN należy tłumaczyć tym, iż został on wprowadzony na rynek kilka miesięcy temu, a proces certyfikacji jest czasochłonny. W najbliższej przyszłości należy więc spodziewać się jego rezultatów, co zresztą produktowi słusznie się należy.

Szyfry wojny

Przejdźmy do serca produktów - szyfrowania. Koncepcja szyfrowania dysków w produktach FDE opiera się na dwóch założeniach. Po pierwsze zaszyfrowany powinien zostać cały dysk twardy. Po drugie dostęp do dysku powinien być możliwy tylko i wyłącznie po poprawnym uwierzytelnieniu, jeszcze przed uruchomieniem systemu operacyjnego. Każdy z testowanych produktów obydwa te postulaty w pełni realizuje. Każdy pozwala na wybór algorytmu szyfrowania, za pomocą którego zrealizowane zostanie pierwsze założenie.

Portfolio algorytmów jest zróżnicowane. Najszerszą ich gamę oferuje PPC (Blowfish, CAST, AES 256, 3DES), zaraz potem plasuje się SB (RC5-12, RC5-18, AES 256). Stawkę zamyka SGN (AES 128, AES 256). Różnie rozwiązana jest też ich obsługa. W przypadku SB wybór algorytmu szyfrowania następuje już w momencie instalacji i brak jest możliwości późniejszej zmiany, co ma swoje zalety (jednolity algorytm szyfrowania w całej infrastrukturze). W PPC administrator ma możliwość wskazania algorytmu na poziomie profilu instalacyjnego (każdy profil inaczej), a w SGN na poziomie polityki (każda z polityk może mieć ustawiony inny algorytm). To podejście również ma duży plus. Przede wszystkim daje możliwość doboru odrobinę słabszego algorytmu dla maszyn, które czasy świetności mają już za sobą i nieco przyśpieszyć ich pracę. Warto też wspomnieć, że w rozwiązaniu PPC proces szyfrowania dysku nie zostanie zainicjowany, zanim klucz niezbędny do przeprowadzenia procedury odtworzenia nie spocznie bezpiecznie na wskazanym udziale sieciowym z dala od stacji roboczej.

Przed uruchomieniem procesu szyfrowania dysku muszą zostać utworzone klucze, które potrzebne są także do odtworzenia systemu w razie ewentualnej awarii. Klucze te bądź zostają przekazane do bazy danych (SB, SGN), bądź - jak wspomnieliśmy - umieszczone na udziale sieciowym (PPC). Konieczne jest też ponowne uruchomienie systemu po zainstalowaniu klienta w celu zrealizowania drugiego założenia, czyli ochrony dostępu do dysku przed załadowaniem systemu.