Ad FIPS certifikace - děkuji za tip. Koukal jsem na to, mohlo by to být řešení.
Ad celá Xka jsou spuštěná pod uživatelem, který je speciálně určený k práci s podezřelým usb zařízením - to asi není moc praktické, zvlášť když podezřelé USB zařízení je prakticky každé.
Ad u Waylandu každé okno simuluje jeden samostatný X server - potom by to rozbilo spoustu aplikací, které spoléhají na X11 events. Ale co jsem někde četl, není ve Waylandu ještě ani podpora clipboardu. Také na to nejsem expert, takže se necháme překvapit.