Towards a certifiable MILS based workstation

Abstract

This report is based on work at FFI towards the potential realization of a certifiable workstation for handling multiple security classifications. To realize such a solution based on the use of a MILS separation kernel, it is deemed essential to have a secure way to share the keyboard, mouse, and screen between partitions. We propose a design for this where it is ensured through the configuration of the separation kernel that data cannot flow between user partitions (i.e., classification levels), thereby simplifying the certification of such a system. The principal design can be generalized to handle all devices that are used either as purely input or purely output devices and it is also described in this report how the proposed solution can be applied to a touchscreen device. A basic proof-of-concept prototype has been implemented and was demonstrated as part of the SOA Pilot at FFI in June 2011. This prototype adheres to the principal design, but does not represent a certifiable implementation. The realization of the full potential of such a system depends on the existence of a separation kernel certified on suitable hardware. The last chapter of this report therefore provides an overview of the current status with regard to certification of separation kernels, before a discussion of potential ways forward.

Denne rapporten omhandler arbeid ved FFI med tanke på en mulig realisering av en arbeidsstasjon for å håndtere flere graderingsnivå. For å kunne realisere en slik løsning basert på en MILS separasjonskjerne, er det nødvendig å kunne dele tastatur, mus og skjerm mellom partisjoner på en sikker måte. Vi foreslår en løsning for dette hvor konfigurasjonen av separasjonskjernen forsikrer at data ikke kan flyte mellom brukerpartisjoner (graderingsnivå), noe som dermed forenkler sertifiseringen av et slikt system. Det overordnede designet kan generaliseres til å håndtere alle enheter som benyttes som enten rene inn-enheter eller rene ut-enheter. Det beskrives også i rapporten hvordan den foreslåtte løsningen kan anvendes på en enhet med berøringsskjerm. Det er implementert en prototype av den foreslåtte løsningen og denne ble demonstrert som en del av SOA piloten på FFI i juni 2011. Prototypen overholder det foreslåtte overordnede designet, men utgjør ikke en sertifiserbar implementasjon. Det er en forutsetning for å kunne realisere det fulle potensialet i en slik løsning at en har en separasjonskjerne som er sertifisert på egnet maskinvare. Det siste kapitlet i denne rapporten gir derfor en oversikt over sertifiseringsstatus for separasjonskjerner, før det avsluttes med en diskusjon av mulige veier videre.