Przed bootowaniem uwierzytelniamy

Taka ochrona to tzw. PBA (Pre-Boot Authentication). Firma Utimaco wymyśliła na nią swoją własną nazwę POA (Power On Authentication), ale chodzi o to samo. Zasada działania jest tutaj podobna do bootloaderów znanych z Linuksa.

W bardzo dużym uogólnieniu wygląda to następująco: środowisko PBA umieszczane jest na dysku po zainstalowaniu oprogramowania klienckiego i ponownym uruchomieniu komputera. Wówczas, przed załadowaniem systemu operacyjnego pracującego w trybie chronionym, ładowany jest sterownik uruchamiający minisystem operacyjny oprogramowania szyfrującego. Ten w przypadku całej trójki swoim wyglądem i zachowaniem zbliżony jest do standardowego OS-a (podwyższona rozdzielczość, wsparcie dla myszki i urządzeń USB). Tutaj następuje proces uwierzytelnienia użytkownika. Poprawne zalogowanie umożliwia załadowanie kluczy oraz uruchomienie sterownika odpowiedzialnego za wystartowanie właściwego OS-a.

Kluczową rolę w procesie inicjowania dysku twardego i późniejszego uruchomienia systemu odgrywa MBR (Master Boot Record). Większość producentów oprogramowania FDE postępuje z nim podobnie - MBR jest modyfikowany i zastępowany MBR-em dostawcy. Tak też dzieje się zarówno w przypadku SB, jak i SGN-a. Oryginalny MRB jest wówczas najczęściej przechowywany w kernelu PBA (SGN) lub też znajduje się tam wskaźnik do oryginalnego MBR-a umieszczonego gdzieś na zaszyfrowanej partycji (SB).

Inne podejście prezentuje PPC, który nie wprowadza do MBR-a żadnych modyfikacji. Ma to swoje zalety. Przeprowadzenie procesu odzyskiwania w razie awarii jest wówczas dla użytkownika znacznie prostsze, niż w przypadku gdy MBR jest zmodyfikowany. Ponadto instalacja jakiegokolwiek oprogramowania (wirus, bootloader), które nadpisuje (uszkadza) MBR-a, powoduje, że procedura recovery w przypadku gdy ten jest podmieniony staje się rzeczą wcale nie trywialną - zwłaszcza gdy użytkownik oddalony jest o kilkaset kilometrów od swojego administratora.

Z punktu widzenia bezpieczeństwa wszystkie produkty uniemożliwiają "wyciągnięcie" klucza, który mógłby posłużyć do deszyfracji dysku osobom nieuprawnionym. Dopiero poprawne uwierzytelnienie odblokowuje klucz szyfrujący i daje dostęp do dysku.

Zatrzymajmy się przy tym, co oferuje PBA u każdego z producentów. Najważniejszą funkcją PBA jest uwierzytelnienie użytkownika, które może odbywać się zarówno w oparciu o hasła statyczne, jak i kartę inteligentną lub token USB. W przypadku tego trzeciego należy pochwalić SB i PPC za bardzo szeroką gamę wspieranych dostawców, SGN pod tym względem w chwili prowadzenia testów oferował najmniej możliwości.

Będąc przy uwierzytelnianiu nie można nie wspomnieć o trybie SSO (Single-Sign-On), pozwalającym na wykorzystanie wspólnych danych uwierzytelniających dla środowiska PBA i systemu operacyjnego. Z uwagi na nierozerwalny związek SGN z Active Directory, SSO z Windowsem jest tutaj rozwiązaniem naturalnym. PPC również pozwala na włączenie tego trybu; daje też możliwość synchronizacji haseł użytkowników w kierunkach PBA->Windows oraz Windows->PBA. SB pozwala na synchronizację haseł w kierunku Windows->PBA. W SGN synchronizacja haseł możliwa jest dzięki sprzęgowi z AD.

Bardzo pożytecznym gadżetem, zwłaszcza dla posiadaczy tabletów, jest wirtualna klawiatura, którą można wyświetlić w PBA i za jej pomocą wprowadzić dane uwierzytelniające. Tę funkcjonalność oferowały zarówno PPC, jak i SB.

Kolejna rzecz to obsługa języka polskiego w PBA. Wraz z wprowadzeniem ostatnich wersji oprogramowania SafeBoot i Pointsec zadbano o nasz rodzimy język. Istotna, z punktu widzenia firmy, jest także możliwość zmiany wyglądu prebootu. W tym wypadku wszyscy producenci stanęli na wysokości zadania, a SB dołączył nawet kilka interesujących tematów (np. Matrix).

W każdym z trzech rozwiązań PBA udostępniało też mechanizmy uzyskania pomocy w przypadku zagubienia hasła czy tokenu (o czym szerzej przy okazji omawiania trybu odzyskiwania). Podsumowując, przyjaznością środowiska PBA dla użytkownika oraz tzw. look and feel wyróżniają się PPC i SGN. SB sprawia wrażenie nieco topornego, ale za to działa znacznie szybciej niż SGN.

Szyfrujemy dane

Przyjrzyjmy się teraz samemu procesowi szyfrowania. Bardzo istotnym warunkiem, który powinien zostać spełniony, jest jego odporność na przerwy w dostawie energii, hibernację komputera czy stan wstrzymania. Wszystkie trzy produkty w pełni spełniały ten warunek.

Sposób szyfrowania dysku konfigurowany jest z poziomu konsoli zarządzania. W przypadku SB oraz SGN bardzo przydatna jest możliwość uruchomienia szyfrowania w dowolnym momencie po zainstalowaniu klienta - regulacja polityką. PPC nie daje takiej funkcjonalności. Jeżeli więc zdecydujemy się zainstalować klienta i zapomnimy o szyfrowaniu, jedyną szansą na włączenie szyfrowania jest reinstalacja oprogramowania (w tym również zdalnie).

SB, oprócz objęcia szyfrowaniem całego dysku twardego, daje też możliwość szyfrowania pierwszych 10% dysku (Partial Encryption). Warto także zauważyć, że zarówno SB, jak i SGN pozwalają na objęcie szyfrowaniem dysków wymiennych (np. pamięci flash, dysków USB) - tzw. file based encryption. W przypadku SB jednakże zaszyfrowane nośniki wymienne nie będą mogły być współużytkowane i odszyfrowane na innych komputerach (klucz szyfrujący przywiązany jest do konkretnej maszyny). W SGN z kolei współdzielenie jest możliwe, a jego zakres zależy od użytego klucza szyfrującego (np. klucz OU="IT"), co bardzo ułatwia pracę.

Proces szyfrowania w każdym z produktów objawia się w inny sposób. PPC szyfruje dysk w tle, bez wyraźnej informacji o tym fakcie. Podejrzenie stanu szyfrowania możliwe jest jednak poprzez interfejs zarządzania lub menu ikonki umieszczanej w pasku zadań. Proces odpowiedzialny za szyfrowanie działa tutaj z niskim priorytetem - każde zadanie wykonywane przez użytkownika ma pierwszeństwo przed szyfrowaniem. To minimalizuje obciążenie systemu w trakcie wstępnego szyfrowania i jest w zasadzie dla użytkownika niezauważalne. SGN informuje o postępie w procesie szyfrowania wyświetlając okno monitorujące jego przebieg, co przydaje się dociekliwym użytkownikom. Problem obciążenia systemu szyfrowaniem rozwiązany został tutaj poprzez procentowe określenie przydzielanych procesowi zasobów (od 1 do 100). Ustawienie tej wartości odbywa się bądź na poziomie polityki z konsoli administracyjnej lub za pomocą suwaka wyświetlanego w oknie postępu szyfrowania na stacji klienckiej. SB pozwala na podejrzenie postępów szyfrowania (także innych zdarzeń, np. ostatniej synchronizacji z serwerem) za pośrednictwem funkcjonalnej konsoli na stacji klienckiej uruchamianej z menu ikony produktu w pasku zadań. Tutaj proces szyfrowania również nie wpływał w sposób widoczny na komfort pracy.

Podczas testów wykonano pomiar czasu potrzebnego każdemu z produktów na zaszyfrowanie partycji 20 GB na dysku SATA. W badanym systemie nie wykonywano żadnych dodatkowych czynności, a w SGN poziom przydziału zasobów ustawiono na 100%. Najszybszy był SB (17 min 2 s). SGN poradził sobie w 26 min 56 s, a PPC w 33 min i 46 s. Jednak nie czas zaszyfrowania dysku jest w codziennym użytkowaniu najważniejszy - to bowiem operacja jednorazowa (tym bardziej że można ją w dowolnym miejscu przerwać). Bardziej istotny jest wpływ faktu zaszyfrowania dysku na wykonywanie operacji dyskowych, a więc rzeczywisty spadek wydajności całego systemu. Pomiar został wykonany za pomocą oprogramowania PC Mark 2004. Wyniki przedstawia tabela. Przyjęło się uważać, że spadek wydajności systemu po zaszyfrowaniu całego dysku powinien oscylować w granicach ok. 5-7%.