« Asservissement » d'un disque dur

SafeGuard Enterprise permet l'asservissement des volumes ou des disques durs chiffrés. Il permet à l'utilisateur final, à l'administrateur Windows et au responsable de la sécurité de SafeGuard Enterprise de se connecter ou de supprimer de nouveaux volumes ou disques durs en dépit du chiffrement basé sur secteur.

La zone de stockage des clés (KSA, Key Storage Area) d'un volume contient toutes les informations nécessaires, c'est-à-dire :

Un volume chiffré avec SafeGuard Enterprise est accessible à partir de tous les terminaux protégés par SafeGuard Enterprise, pourvu que l'utilisateur ou l'ordinateur possède une KEK de la KSA du volume sur son jeu de clés.

Les utilisateurs ou les ordinateurs doivent pouvoir déchiffrer la DEK chiffrée par la KEK.

Un grand nombre d'utilisateurs et d'ordinateurs peuvent accéder à un volume ayant été chiffré avec une KEK distribuable tel qu'une OU, un groupe, ou une clé de domaine, car de nombreux utilisateurs/ordinateurs d'un domaine ont cette clé dans leurs jeux de clés.

Toutefois, un volume qui n'est chiffré qu'avec la clé de démarrage individuelle (« Boot_nommachine ») de l'ordinateur protégé par SafeGuard Enterprise n'est accessible que par ce terminal particulier.

Si un volume ne démarre pas sur son ordinateur d'origine, il peut être « asservi » sur un autre terminal protégé par SafeGuard Enterprise. Toutefois, la clé de démarrage correcte n'est pas accessible. Elle doit être rendue accessible.

Chaque fois que l'utilisateur tente d'accéder au volume depuis un autre ordinateur, il peut le faire car les KEK de la KSA et le jeu de clés des autres utilisateurs ou ordinateurs correspondent de nouveau.