Safeboot Technologia

Filozofia działania

W odróżnieniu od wielu innych systemów bezpieczeństwa PC, SafeBoot nie chroni dostępu wyłącznie do pojedynczych plików, ani też nie zmienia sposobu interakcji autoryzowanego użytkownika z systemem. Podstawowym założeniem przy projektowaniu rozwiązania było wprowadzenie ochrony na najniższym poziomie - w warstwie systemu operacyjnego - Windows XP / 2000 / NT / ME / 95 / 98, poprzez mechanizmy szyfrowania dysku oraz opartego o tokeny (np. eToken) logowania do systemu. Safe Boot opcjonalnie oferuje również szyfrowanie plików i nośników danych (VDisk i SBFE).

Jak działa SafeBoot ?

Strona kliencka SafeBoot, mówiąc w dużym uproszczeniu, odbiera kontrolę nad twardym dyskiem systemowi operacyjnemu i sterownik SafeBoot szyfruje każdą informację zapisywaną na dysk oraz deszyfruje każdą - z niego odczytaną. Jeśli jakaś aplikacja chciałaby ominąć ochronę implementowana przez SafeBoot, czytając np. dane bezpośrednio z dysku - będzie ona miała dostęp jedynie do danych zaszyfrowanych, a więc dla niej bezużytecznych. Nawet pliki tymczasowe oraz plik wymiany (swap file) są chronione tymi mechanizmami. Można sobie wyobrazić, iż SafeBoot jest instalowany, jako mini system operacyjny na dysku twardym użytkownika i to on uruchamia się, jako pierwszy po starcie komputera. Interfejs graficzny przypomina systemy Windows, z obsługą myszki i klawiatury, przesuwalnymi oknami, itp. Ten "SafeBoot OS" jest odpowiedzialny za umożliwienie uwierzytelnienia użytkownika z użyciem hasła, tokenu USB (eTokenu), karty chipowej (trwają obecnie prace nad obsługą dostępnych obecnie rozwiązań Activcard). Po wprowadzeniu poprawnego hasła/PIN-u, SafeBoot OS ładuje do pamięci i uruchamia sterownik odpowiedzialny za obsługę (de)szyfrowania danych, a następnie uruchamia oryginalny system operacyjny, który był pierwotnie zainstalowany na dysku twardym. Możliwe jest oczywiście również wykorzystywanie mechanizmu multiboot. Od tego momentu komputer użytkownika zachowuje się dokładnie tak, jakby nie był na nim zainstalowany SafeBoot. Ochrona jest niewidoczna z punktu widzenia użytkownika, zaś jedyne czytelne dane na dysku, to SafeBoot OS.

Zarządzanie

Za każdym razem, kiedy maszyna chroniona przez SafeBoot jest uruchamiana i opcjonalnie, za każdym razem, kiedy użytkownik inicjuje połączenie dial-up lub po określonym okresie, SafeBoot próbuje odwołać się do katalogu obiektów ("Object Directory"). Jest nim centralne repozytorium informacji zarówno dla użytkowników, jak i stacji roboczych i jest zarządzane przez administratorów SafeBoot. Katalog obiektów może być zlokalizowany na dysku użytkownika (jeśli pracuje wyłącznie jednostanowiskowo) lub może funkcjonować zdalnie - osiągalny poprzez TCP/IP - poprzez bezpieczny SafeBoot Server - zarządzany centralnie w ramach korporacji. Stacje zabezpieczone z użyciem SafeBoot odpytują katalog w poszukiwaniu aktualizacji swojej konfiguracji i jeśli jest to wymagane - pobierają je i wymuszają na sobie - niezależnie od użytkownika. Typową aktualizacją jest przypisanie przez administratora nowego użytkownika do komputera, zmiana polityki bezpieczeństwa względem haseł lub uaktualnień SafeBoot OS. W tym samym czasie SafeBoot przekazuje m.in. informacje, jak - ostatnie dane audytowe, jakiekolwiek zmiany dotyczące hasła użytkownika, itp. Dzięki temu możliwa jest w pełni przezroczysta synchronizacja informacji w ramach korporacji.