Purple Penelope fue un sistema seguro de demostración creado por la Agencia de Investigación de Defensa (DRA) en el Reino Unido. Su objetivo era mostrar que la funcionalidad de seguridad de Windows NT podía ampliarse para ayudar a los usuarios a manejar información clasificada .
Purple Penelope [1] implementó el modelo de seguridad basada en dominios [2] [3] que DRA desarrolló para el Ministerio de Defensa del Reino Unido para aprovechar el uso del software Commercial Off The Shelf (COTS) para implementar sistemas seguros.
Dentro de un dominio de seguridad, los controles de acceso están diseñados para evitar que los usuarios accedan a material sin necesidad de saberlo y para evitar que cometan errores al manejar datos clasificados, mientras que los controles sobre el intercambio de información entre dominios de seguridad son más estrictos y protegen contra ataques y mantienen el control. usuarios para dar cuenta de sus acciones. El modelo requiere etiquetado de seguridad discrecional y controles de acceso basados en roles dentro de un dominio y liberación de información sancionada por el usuario desde el dominio junto con contabilidad y auditoría orientadas a la aplicación. [4]
Purple Penelope amplió Windows NT y el paquete de aplicaciones de Microsoft Office. [5] Las características principales eran un sistema de etiquetado discrecional y una ruta confiable para autorizar acciones críticas de seguridad.
El mecanismo de etiquetado discrecional agregó etiquetas de seguridad a los archivos, las ventanas de las aplicaciones y el portapapeles. La pantalla del escritorio del usuario se aumentó con una franja en la parte superior de la pantalla. Esto mostró la etiqueta de seguridad de la ventana de la aplicación que tenía el foco y la etiqueta de seguridad del portapapeles. Cuando los datos se copiaron en el portapapeles, la etiqueta del portapapeles se estableció en la ventana de la aplicación de origen. Cuando los datos se copiaron del portapapeles, la etiqueta de la ventana de la aplicación de destino "flotó" hasta la etiqueta de los nuevos datos. El usuario era libre de cambiar la etiqueta de una ventana o el portapapeles en cualquier momento.
Los usuarios también tenían acceso a un almacén de archivos compartidos. Los archivos en el almacén de archivos compartidos se etiquetaron y, cuando los abrió una aplicación, la etiqueta de la ventana de la aplicación se estableció como la del archivo. Una aplicación no pudo escribir directamente el almacén de archivos compartidos. El usuario pudo copiar archivos en el almacén de archivos compartidos, pero se le pidió que confirmara la acción mediante una interfaz de ruta confiable a la que no podían acceder las aplicaciones.