Cross-domain communication using an XMPP chat guard

Author
Haakseth, Raymond
Brønstad, Oddvar
Jonsson, Øyvind
Kristiansen, Bengt
Nordbotten, Nils Agne
Date Issued
2017
Keywords
Informasjonssikkerhet
Informasjonsmerking
Sikkerhetsdomener
Datautveksling
Kommando og kontroll
Project number
17/01491
Permalink
http://hdl.handle.net/20.500.12242/2196
Collection
Rapporter
17-01491.pdf
Size: 877k
Abstract
In current and future military operations the capability to communicate, distribute and share information is vital. Information superiority is achieved through the gathering, processing and sharing of data from sensors and humans. This requires that future information systems are interoperable and capable of sharing data and information with other systems. This includes instant messaging, also known as chat, which has become a popular alternative for informal message exchange between users. Military systems have traditionally relied upon the use of physically separated security domains to provide confidentiality protection. While serving the purpose of protecting the confidentiality of information it also heavily restricts sharing of information. This includes information that otherwise could be shared. A guard is an assured solution that may be used for connecting security domains. It protects the high domain from sharing information with the low domain that it is not allowed to share, i.e. information leakage. Guards inspect the confidentiality labels attached to the data in order to decide if it is releasable or not. It also contributes to the protection of the high domain from threats from the low side, like malware, thus protecting the integrity of systems. This report presents a guard solution developed as part of the multilateral research project Coalition Networks for Secure Information Sharing (CoNSIS) II for chat messaging using the XMPP protocol. It enables users in one security domain to interact and exchange chat messages with users in another domain. The Chat Guard is designed and implemented in cooperation with Thales Norway AS. It reuses the basic architecture and design from the Mail Guard under development by Thales and the prototype XML/SOAP Guard developed in cooperation between FFI and Thales. Reusing the security critical components of these guards facilitates certification. A prototype of the Chat Guard has been implemented by Thales Norway AS and tested. Through the testing it has been identified that the prototype may be too strict, stopping messages that are of use. Striking the right balance between protection and usability is important, and this report outlines how the finished guard may handle different types of messages. Also, lessons learned and experience drawn from the CD&E activity SMART on using chat in an operational scenario has been important input. The SMART initiative investigated whether the use of commercial smart technology, including chat messaging, could be used to provide situational awareness to units with little or no equipment today. This work has shown that it is possible to design and implement a guard for chat using the XMPP specification based on the existing guards in development. A working prototype has been established that may be developed into an operational system. The Chat Guard is designed with an aim of Common Criteria EAL 5 certification.
Evnen til å kommunisere, distribuere og dele informasjon er avgjørende for nåværende og framtidige militære operasjoner. Informasjonsoverlegenhet oppnås gjennom å samle, prosessere og dele data fra sensorer og mennesker. For å oppnå dette må framtidens informasjonssystemer være interoperative slik at informasjonen ikke er bundet til ett system. Det finnes en mengde forskjellige militære kommunikasjons- og informasjonssystemer som brukes for å utveksle informasjon. Lynmeldinger, også kjent som chat, har etter hvert blitt et populært alternativ for uformell meldingsutveksling mellom brukere. Militære systemer har tradisjonelt brukt fysisk skilte sikkerhetsdomener for å beskytte konfidensialiteten til både systemer og informasjon. Dette gir konfidensialitetsbeskyttelse, men samtidig er det også et stort hinder for deling av informasjon. Dette inkluderer informasjon som ellers kunne vært delt, men som ikke kan deles fordi den er lagret eller behandlet i et system i et annet sikkerhetsdomene. For å knytte to sikkerhetsdomener sammen brukes gjerne en såkalt guard-løsning. Guarden beskytter det høye domenet mot informasjonslekkasjer (konfidensialitetsbeskyttelse) ved å stoppe informasjon som ikke skal eller kan deles med lavere domener. Dette gjøres ved at guarden inspiserer konfidensialitetsmerker som er påført informasjonen og som beskriver sensitiviteten. Hvilken informasjon som kan frigjøres, er avhengig av hvilken policy guarden er konfigurert med. Guarden eller omkringliggende mekanismer må også sørge for at skadevare som virus og andre dataangrep ikke får passere (integritetsbeskyttelse). I denne rapporten presenterer vi en guard-løsning kalt Chat Guard, som kan brukes for lynmeldinger som bruker XMPP-spesifikasjonen. Denne guarden gjør det mulig for en bruker i et sikkerhetsdomene å utveksle lynmeldinger med brukere i andre domener, samtidig som konfidensialiteten til informasjonen og integriteten til systemene er beskyttet. Chat Guard er et resultat av samarbeid mellom Thales Norway AS og FFI og har vært en del av det multilaterale forskningssamarbeidet Coalition Networks for Secure Information Sharing (CoNSIS) II. Denne guarden gjenbruker både arkitektur og design fra Mail Guard som er under utvikling av Thales, og fra prototype XML/SOAP Guard som ble utviklet i samarbeid mellom FFI og Thales. Gjenbruken av sikkerhetskritiske komponenter bør gjøre evaluering og sertifisering enklere. Thales Norway AS har stått for implementering og testing av Chat Guard-prototypen. For alle sikkerhetsfunksjoner er det viktig å finne balansen mellom å beskytte og samtidig være brukervennlig. Testing av prototypen har vist at flere viktige meldingstyper ble stoppet. Vi har også brukt erfaringer fra CD&E aktiviteten SMART som ble gjennomført av FFI i 2016, som blant annet undersøkte bruk av lynmeldinger i et operasjonelt scenario. Denne rapporten viser at det er mulig å lage en guard-løsning for lynmeldinger med tilstrekkelig høyt tillitsnivå. Det er også laget en funksjonell prototype som kan utvikles videre til ferdig produkt. Chat Guard er designet med tanke på evaluering til tillitsnivå Common Criteria EAL 5.
View Meta Data