Cross-domain communication using an XMPP chat guard

Evnen til å kommunisere, distribuere og dele informasjon er avgjørende for nåværende og framtidige militære operasjoner. Informasjonsoverlegenhet oppnås gjennom å samle, prosessere og dele data fra sensorer og mennesker. For å oppnå dette må framtidens informasjonssystemer være interoperative slik at informasjonen ikke er bundet til ett system. Det finnes en mengde forskjellige militære kommunikasjons- og informasjonssystemer som brukes for å utveksle informasjon. Lynmeldinger, også kjent som chat, har etter hvert blitt et populært alternativ for uformell meldingsutveksling mellom brukere. Militære systemer har tradisjonelt brukt fysisk skilte sikkerhetsdomener for å beskytte konfidensialiteten til både systemer og informasjon. Dette gir konfidensialitetsbeskyttelse, men samtidig er det også et stort hinder for deling av informasjon. Dette inkluderer informasjon som ellers kunne vært delt, men som ikke kan deles fordi den er lagret eller behandlet i et system i et annet sikkerhetsdomene. For å knytte to sikkerhetsdomener sammen brukes gjerne en såkalt guard-løsning. Guarden beskytter det høye domenet mot informasjonslekkasjer (konfidensialitetsbeskyttelse) ved å stoppe informasjon som ikke skal eller kan deles med lavere domener. Dette gjøres ved at guarden inspiserer konfidensialitetsmerker som er påført informasjonen og som beskriver sensitiviteten. Hvilken informasjon som kan frigjøres, er avhengig av hvilken policy guarden er konfigurert med. Guarden eller omkringliggende mekanismer må også sørge for at skadevare som virus og andre dataangrep ikke får passere (integritetsbeskyttelse). I denne rapporten presenterer vi en guard-løsning kalt Chat Guard, som kan brukes for lynmeldinger som bruker XMPP-spesifikasjonen. Denne guarden gjør det mulig for en bruker i et sikkerhetsdomene å utveksle lynmeldinger med brukere i andre domener, samtidig som konfidensialiteten til informasjonen og integriteten til systemene er beskyttet. Chat Guard er et resultat av samarbeid mellom Thales Norway AS og FFI og har vært en del av det multilaterale forskningssamarbeidet Coalition Networks for Secure Information Sharing (CoNSIS) II. Denne guarden gjenbruker både arkitektur og design fra Mail Guard som er under utvikling av Thales, og fra prototype XML/SOAP Guard som ble utviklet i samarbeid mellom FFI og Thales. Gjenbruken av sikkerhetskritiske komponenter bør gjøre evaluering og sertifisering enklere. Thales Norway AS har stått for implementering og testing av Chat Guard-prototypen. For alle sikkerhetsfunksjoner er det viktig å finne balansen mellom å beskytte og samtidig være brukervennlig. Testing av prototypen har vist at flere viktige meldingstyper ble stoppet. Vi har også brukt erfaringer fra CD&E aktiviteten SMART som ble gjennomført av FFI i 2016, som blant annet undersøkte bruk av lynmeldinger i et operasjonelt scenario. Denne rapporten viser at det er mulig å lage en guard-løsning for lynmeldinger med tilstrekkelig høyt tillitsnivå. Det er også laget en funksjonell prototype som kan utvikles videre til ferdig produkt. Chat Guard er designet med tanke på evaluering til tillitsnivå Common Criteria EAL 5.