Watter bedryfstelsel vir u sekuriteit en privaatheid? Windows, macOS, Linux, Tails, Whonix en Qubes OS vergelyk

Volledige vergelyking van bedryfstelsels vanuit die oogpunt van sekuriteit en privaatheid: data wat ingesamel word, telemetrie, bedreigingsmodel. Van Windows 11 tot Qubes OS, met Tails en Whonix ingesluit — watter OS om te kies volgens u vlak van vereiste?

|

Leestyd: 15 minute

Watter bedryfstelsel vir u sekuriteit en privaatheid? Windows, macOS, Linux, Tails, Whonix en Qubes OS vergelyk

Die keuse van ’n bedryfstelsel is nie bloot ’n kwessie van voorkeur vir ’n koppelvlak of sagtewareversoenbarheid nie. Dit is ook, en toenemend so, ’n besluit oor sekuriteit en privaatheid. Elke OS versamel data op verskillende maniere, stel verskillende aanvalsvlakke bloot, en bied ’n baie wisselende vlak van beheer aan die gebruiker. Hierdie vergelyking ontleed die hoofstelsels op die mark uitsluitlik vanuit hierdie hoek — van die mees wydverspreid tot die mees gespesialiseerde.

Die sentrale kriterium: wie beheer u stelsel?

Voordat ons in die besonderhede van elke OS ingaan, is daar ’n strukturerende beginsel: die sekuriteit van ’n bedryfstelsel hang fundamenteel af van wie die kode beheer en watter argitektoniese besluite by die ontwerp geneem is. ’n Eiendomlike OS met geslote kode (Windows, macOS) delegeer hierdie vertroue aan die uitgewer. ’n Oopbron-OS delegeer hierdie vertroue aan die gemeenskap wat die kode ouditeer. ’n OS wat vir gekompartimenteerde sekuriteit ontwerp is (Qubes OS) vertrek van die beginsel dat geen komponent van die stelsel volledig vertrou kan word nie.


Windows 11

Data-insameling en telemetrie

Windows 11 is die mees gebruikte rekenaar-OS ter wêreld, en ook een van dié wat by verstek die meeste data insamel. Microsoft verdeel sy telemetrie in twee amptelike kategorieë:

Vereiste data (nie deaktiveerbaar op Home- en Pro-uitgawes nie): hardeware-konfigurasie, toestelidentifiseerders, fout- en stabiliteitverslae, opdaterings- en bestuurderdata. Hierdie data word aan Microsoft gestuur ongeag gebruikersvoorkeure.

Opsionele data: gebruiksgedrag, interaksies met toepassings, personaliseringsdata. Deaktiveerbaar in instellings, maar word outomaties hergeaktiveer tydens sekere groot opdaterings.

Windows 11 24H2 het verskeie nuwe insamelingslaag ingevoer wat verband hou met KI:

  • Windows Recall: neem elke vyf sekondes ’n skermkiekie om ’n deursoekbare tydlyn te skep van alles wat u op u rekenaar gedoen het. Deaktiveerbaar, maar by verstek aan en gekoppel aan uitbreidbare toegangsregte deur ander toepassings
  • Copilot: elke navraag word na Microsoft se bedieners gestuur, insluitend skermkiekies, geselekteerde teks en die konteks van oop toepassings
  • Defender Cloud Protection: stuur hashes van verdagte lêers en gedragsdata na die Microsoft-wolk vir ontleding

Die gevolgtrekking, gedokumenteer deur talle onafhanklike tegniese bronne, is ondubbelsinnig: dit is onmoontlik om Windows 11-telemetrie volledig te deaktiveer op Home- en Pro-uitgawes. Die enigste manier om dit te bereik is om ’n Enterprise- of Education-uitgawe te gebruik, spesifieke groepbeleide toe te pas, of hulpmiddels van derde partye soos O&O ShutUp10++ of WPD te gebruik — met die gepaardgaande risiko’s van onstabiliteit.

Aanvalsvlak en sekuriteit

Windows 11 is die teiken van die oorweldigende meerderheid wêreldwye wanware, losprysware en uitbuitings, proporsioneel aan sy markaandeel. Microsoft het beduidende sekuriteitsmeganismes ingevoer (verpligte TPM 2.0, Secure Boot, VBS, Credential Guard), maar hierdie funksioneer binne ’n monolitiese model: ’n kompromittering van die kern of ’n bevoorregte stelseldiens beïnvloed die hele omgewing.

Sekuriteit/privaatheid-uitspraak: die mees blootgestelde stelsel in hierdie vergelyking, met telemetrie wat nie volledig deaktiveerbaar is nie, en ’n vertrouensmodel wat volledig aan Microsoft en die Amerikaanse regsgebied gedelegeer word.


macOS

Data-insameling en telemetrie

Apple het ’n deel van sy bemarkingsbeeld rondom privaatheid gebou. Die tegniese werklikheid is meer genuanseerd.

macOS versamel by verstek aansienlik minder data as Windows, maar die insameling is steeds reël en gedeeltelik nie deaktiveerbaar nie:

  • Gatekeeper en OCSP-verifikasie: elke keer wanneer ’n toepassing oopgemaak word, voer macOS ’n aanlyn-verifikasie by Apple se bedieners uit om te bevestig dat die toepassing nie herroep is nie. Hierdie navraag stuur inligting oor die geopende toepassing en die toestel se IP-adres. Geen ingeboude instelling laat toe om hierdie verifikasies te deaktiveer sonder om die sekuriteitsketting te breek nie
  • macOS-analitika: versamel stelselgebruiksdata, deaktiveerbaar in Stelselvoorkeure > Privaatheid > Analitika
  • Apple-toepassingstelemetrie: Maps, Siri, App Store en ander ingeboude Apple-toepassings onderhou elk hul eie insameling, met roterende identifiseerders, onafhanklik van die stelselanalitika-instelling

Om verder te gaan, beveel sekuriteitskundiges die gebruik van ’n toepassingsbrandmuur aan (Little Snitch of LuLu, oopbron en gratis) om uitgaande verbindings per toepassing te monitor en te blokkeer.

Aanvalsvlak en sekuriteit

macOS beskik oor verskeie robuuste sekuriteitsmeganismes: System Integrity Protection (SIP) wat stelsellêers as leesalleen beskerm, Kernel Integrity Protection op hardewarevlak op Apple Silicon-skyfies, sandboxing van App Store-toepassings, en Secure Enclave op onlangse masjiene. Die verhouding met ’n Apple ID is die hoof-vektor vir die insameling van persoonlike data.

Sekuriteit/privaatheid-uitspraak: beter as Windows wat betref verstek-telemetrie, maar steeds onderworpe aan nie-deaktiveerbare OCSP-verifikasies, die Amerikaanse regsgebied, en Apple se geslote model. Moeilik om onafhanklik te ouditeer.


Linux (algemene verspreidings)

Linux is nie ’n enkele bedryfstelsel nie, maar ’n kern waarop baie verskillende verspreidings gebou is. Vanuit ’n sekuriteits- en privaatheidsoogpunt deel hulle ’n gemeenskaplike grondslag, maar verskil op verskeie punte.

Ubuntu is die gewildste verspreiding vir beginners. Dit het in 2012 ’n polemiek veroorsaak deur plaaslike soektogte na Amazon-bedieners te stuur — ’n gedrag wat sedertdien verwyder is. Ubuntu handhaaf sy eie gebruiksdata-insameling (whoopsie, ubuntu-report), wat deaktiveerbaar is, en integreer die Snap-bewaarplek wat deur Canonical Ltd beheer word.

Debian is die basis waarop Ubuntu gebou is, sonder die bykomende lae van Canonical. Bestuur deur ’n nie-winsgewende gemeenskapsprojek, met ’n streng verbintenis tot vrye sagteware, versamel dit by verstek geen telemetrie nie. Sy konserwatiewe opdateringsbeleid is oor die algemeen verkieslik in terme van aanvalsvlak.

Fedora, geborg deur Red Hat (’n filiaal van IBM), is tegnies modern met ’n vinnige opdateringssiklus. Geen telemetrie by verstek nie, maar die verhouding met Red Hat/IBM bring ’n korporatiewe afhanklikheid mee wat vermeld moet word.

Linux Mint, afgelei van Ubuntu, is ontwerp vir gebruikers wat van Windows af kom. Dit het die mees omstrede komponente van Ubuntu verwyder (Snap is by verstek afwesig) en bring geen eie telemetrie in nie.

Arch Linux is gemik op gevorderde gebruikers met ’n minimalistiese filosofie: die gebruiker installeer slegs wat nodig is. Geen telemetrie nie, deurlopende opdaterings (rolling release), volle vryheid van aanpassing.

Wat Linux fundamenteel bied

  • Oopbron en ouditeerbare kode: enige sekuriteitsondersoeker kan die kernkode en hoofkomponente inspekteer
  • Geen opgelegde telemetrie: geen groot verspreiding forseer nie-deaktiveerbare data-insameling nie
  • Strenger toestemmingsmodel by verstek: gebruik van ’n root-rekening wat van alledaagse aksies geskei is
  • Verminderde aanvalsvlak: Linux word minder geteiken deur massawanware

Sekuriteit/privaatheid-uitspraak: duidelik beter as Windows en macOS wat betref data-insameling. Geen algemene verspreiding beskerm teen die kompromittering van ’n toepassing wat na die hele stelsel uitbrei nie.


Tails OS

Filosofie: amnesie as beskerming

Tails, akroniem vir The Amnesic Incognito Live System, is ’n Debian-gebaseerde bedryfstelsel wat in 2024 met die Tor Project saamgesmelt het. Sy filosofie verskil radikaal van alle ander OS’e: eerder as om te probeer om ’n persistente omgewing te beveilig, verwyder dit alle persistensie by verstek. Tails bestaan slegs vir die duur van ’n sessie.

Tegniese argitektuur

Tails loop volledig vanaf ’n USB-sleutel (minimum 8 GB) en funksioneer heeltemal in RAM. Wanneer u dit afskakel, bly geen spoor op die gaasmasjien agter nie: geen tydelike lêer, geen geskiedenis, geen geloofsbriewe, geen forensiese artefak op die hardeskyf van die gebruikte rekenaar nie. Dit maak nie saak of die rekenaar op sagtewarevlak gekompromitteer is nie: Tails skryf nooit op sy skyf nie.

Tor by verstek en sonder uitsondering

Al die netwerkverkeer van Tails word stelselmatig via die Tor-netwerk gerig. As ’n toepassing probeer om ’n direkte verbinding te maak wat Tor omseil, blokkeer Tails dit. Dit is nie moontlik om Tails te gebruik sonder Tor nie, selfs nie per ongeluk nie.

Die geënkripteerde persistente berging (opsioneel)

By verstek vergeet Tails alles by elke afsluiting. Vir gebruikers wat sekere data tussen sessies moet bewaar, bied Tails ’n Persistent Storage aan: ’n geënkripteerde volume (LUKS) wat op die USB-sleutel self geskep word, beskerm deur ’n wagwoordfrase. Die gebruiker kies presies wat daar gestoor word: sekere lêers, toepassingskonfigurasies, PGP-sleutels, ens. Hierdie persistente berging verander nie die amnestiese aard van Tails ten opsigte van die gaasmasjien nie — dit beïnvloed slegs wat tussen twee sessies op die USB-sleutel bewaar word.

Vooraf geïnstalleerde gereedskap

Tails word gelewer met ’n stel vooraf gekonfigureerde gereedskap: Tor Browser, geënkripteerde e-poskliënt, lêerversleutelingsgereedskap (Kleopatra/GnuPG), veilige boodskapkliënte, en LibreOffice vir kantoorwerk. Geen addisionele sagteware hoef geïnstalleer te word vir gewone gebruik met hoë sekuriteit nie.

Tegniese noot 2026: Tails 7.7 het ’n kennisgewing bygevoeg vir verouderde Secure Boot-sertifikate, aangesien Microsoft se 2011-sleutels in Junie 2026 begin verval. Gebruikers wie se UEFI-firmware nie opgedateer is nie, loop die risiko dat Tails nie meer op sekere masjiene sal kan opstart nie.

Wat Tails beskerm en wat nie

BedreigingTails-beskerming
Forensiese ondersoek van gaasskyf na inbeslagnameVolledig: die gaasskyf word nooit geraak nie
Netwerktoesig (IP, besochte webwerwe)Sterk via Tor, maar afhanklik van Tor se robuustheid
Persistente wanware op die gaasmasjienOmgaan: Tails gebruik nie die geïnstalleerde stelsel nie
BIOS/UEFI-wanware (gekompromitteerde firmware)Geen: Tails kan nie teen die firmware van die gebruikte masjien beskerm nie
Menslike fout (aantekening by ’n persoonlike rekening)Geen: as u onder Tails by Gmail aanteken, deanonimiseer u die sessie
Kompromittering van sagteware tydens die sessieBeperk tot die huidige sessie, wat by afsluiting vernietig word

Eerlike beperkings

  • Tails is nie geskik vir daaglikse gebruik nie: die afwesigheid van persistensie beteken dat die omgewing by elke opstart heropgestel moet word
  • ’n BIOS- of firmware-wanware (soos ’n UEFI-vlak-inplanting) kan ’n Tails-sessie moontlik kompromitteer, aangesien Tails nie die firmwarelaag van die masjien waarop dit loop beheer nie
  • Die aanmelding by ’n persoonlike rekening (e-pos, sosiale media) hef die anonimiteit van die sessie op, ongeag Tor

Vir wie?

Joernaliste wat met bronne via SecureDrop werk, aktiviste onder toesig in onderdrukkende regimes, enigiemand wat ’n eenmalige hoësensitiwiteitsessie op nie-beheerde hardeware nodig het. Gebruik deur Glenn Greenwald en Laura Poitras om Snowden-dokumente te verwerk, aanbeveel deur die EFF, die Freedom of the Press Foundation en die Tor Project.

Uitspraak: ’n eersteklas hulpmiddel vir eenmalige hoësensitiwiteitsessies. Nie ’n daaglikse hoof-OS nie.


Whonix

Filosofie: strukturele anonimiteit via netwerkisolasie

Whonix beantwoord ’n ander vraag as Tails: eerder as om alle spore na die sessie te verwyder, verseker dit dat wanware wat in die werksomgewing loop struktureel nie die werklike IP-adres van die gebruiker kan ken nie, selfs al het dit root-regte op die werks-virtuele masjien.

Whonix is gebaseer op Debian (via KickSecure, ’n geharde weergawe van Debian wat deur dieselfde span ontwikkel is) en funksioneer binne ’n tipe 2-hypervisor (VirtualBox, KVM) op enige gaas-OS, of natively in Qubes OS as tipe 1.

Die twee-VM-argitektuur

Die sentrale beginsel van Whonix is ’n streng skeiding tussen die netwerklaag en die toepassingslaag, geïmplementeer via twee afsonderlike virtuele masjiene:

Whonix-Gateway is die eerste VM. Dit laat die Tor-daemon loop en dien uitsluitlik as netwerkpoort. Dit is die enigste VM met toegang tot die internet. Dit bevat geen gebruikerstoepassings nie. Sy enigste rol is om alle inkomende en uitgaande netwerkverkeer te onderskep en te forseer om via Tor te transitteer.

Whonix-Workstation is die tweede VM. Dit is die werksomgewing: blaaier, boodskappe, lêerverwerking, ontwikkeling. Dit is slegs via die interne virtuele netwerk wat na Whonix-Gateway wys aan die internet gekoppel. Dit het geen direkte internettoegang nie, geen vermoë om verbindings te maak wat die Gateway omseil nie.

Hier is wat gebeur tydens ’n netwerknavraag van die Workstation:

  1. Die toepassing stuur ’n netwerknavraag
  2. Die Workstation stuur dit via sy interne netwerkinterface na die Gateway
  3. Die Gateway onderskep die navraag en herlei dit via Tor (drie opeenvolgende relais)
  4. Die antwoord kom terug langs dieselfde pad in omgekeerde rigting
  5. Die Workstation ontvang die antwoord sonder dat dit ooit van die werklike uitgangs-IP-adres geweet het

Die fundamentele waarborg: selfs as wanware die Workstation met root-regte kompromitteer, kan dit nie die werklike IP-adres van die gebruiker ken nie, want die Workstation het self nooit toegang daartoe. Die Workstation sien slegs die interne IP-adres van die Gateway.

Die bykomende sekuriteitsmeganismes

Stroom-isolasie: Whonix gebruik afsonderlike Tor-stroombane vir verskillende toepassings (die blaaier gebruik nie dieselfde stroombaan as die e-poskliënt nie, ens.), wat verkeerskorrelasie tussen verskillende aktiwiteite voorkom.

Opstartklokverwildering: die sisteemhorlosie van die Workstation word by elke opstart effens lukraak verskuif om tydbepalings-aanvalle gebaseer op die presiese stelselstyd te voorkom.

sdwdate: Whonix gebruik sy eie tyd-sinchronisasie-daemon (sdwdate) wat die tyd via Tor van onion-bedieners haal, in plaas van klassieke NTP wat die IP-adres kan lek.

AppArmor: AppArmor-profiele verhoog die sandboxing van kritiese toepassings soos Tor Browser op stelselavlak.

Weggooi-VM’s: Whonix ondersteun weggooi-Workstations (Whonix-Workstation DispVM in Qubes-Whonix) vir eenmalige take sonder persistensie, soortgelyk aan die Tails-benadering maar binne ’n andersins persistente omgewing.

Die drie ontplooiingsmodusse

Whonix op VirtualBox of KVM (Tipe 2): die mees toeganklike modus. Albei VM’s loop op ’n bestaande gaas-OS (Windows, Linux, macOS). Prakties, maar voeg ’n bykomende vertrouenslaag in die gaas-OS in: as die gasheer gekompromitteer is, kan Whonix se beskerming omgaan word.

Qubes-Whonix (Tipe 1, aanbeveel): Whonix is natively in Qubes OS as templates geïntegreer. Die Gateway word ’n ProxyVM (sys-whonix) en die Workstation ’n AppQube (anon-whonix). Dit is die mees robuuste konfigurasie omdat die isolasie op die Xen bare-metal-hypervisor steun eerder as op ’n tipe 2-hypervisor wat op ’n moontlik kwesbare gaas-OS loop. Dit is die kombinasie wat deur albei projekte aanbeveel word.

Fisiese isolasie (gevorderde modus): die Gateway en die Workstation loop op twee afsonderlike fisiese masjiene, verbind deur ’n Ethernet-kabel. Die Workstation het geen netwerkkaart nie behalwe dié wat aan die Gateway gekoppel is. Hierdie modus verminder die vertrouensbasis drasties, maar vereis twee toegewyde masjiene.

Wat Whonix beskerm en wat nie

BedreigingWhonix-beskerming
IP-adreslek vanaf die WorkstationStruktureel onmoontlik deur argitektuur
DNS-lekkasiesOnmoontlik: alle DNS gaan via Tor deur die Gateway
Root-wanware op die Workstation wat die werklike IP soekGeen: dit sal dit nie vind nie
Kompromittering van die Gateway selfGedeeltelik: as die Gateway gekompromitteer is, kan die IP lek
Kompromittering van die gaas-OS (in Tipe 2-modus)Geen: ’n gekompromitteerde gasheer kan beide VM’s waarneem
Deanonimisering deur gebruikersgedragGeen: Whonix beskerm nie teen menslike foute nie
Forensiese ondersoek van skyf na inbeslagnameGedeeltelik: Whonix is by verstek persistent, behalwe vir weggooi-VM’s

Eerlike beperkings

  • Whonix verwyder nie spore op skyf nie: dit is by verstek persistent (anders as Tails). As u masjien in beslag geneem word en die gaasskyf se enkripsie afwesig of swak is, is die VM-data herwinbaar
  • In Tipe 2-modus (VirtualBox/KVM op ’n gaas-OS) word Whonix se sekuriteit beperk deur die sekuriteit van die gaas-OS. ’n Gekompromitteerde gasheer kan moontlik die verkeer tussen die twee VM’s waarneem
  • Werkverrigting word beïnvloed deur dubbele virtualisering en roeteer via Tor: verbindings is stadig, groot aflaaie is daagliks moeilik

Vir wie?

Enigiemand wat ’n persistente werksomgewing met strukturele netwerkanonimiteit benodig: ontwikkeling van sensitiewe sagteware, verlengde navorsing onder skuilnaam, bestuur van verskeie afsonderlike digitale identiteite, onion-bedieners. Die Qubes-Whonix-kombinasie word deur baie sekuriteitskundiges beskou as die mees robuuste anonieme werksomgewing wat tans vir daaglikse gebruik beskikbaar is.

Uitspraak: die verwysings-OS vir strukturele netwerkanonimiteit in ’n persistente omgewing. Komplementêr tot Tails (wat eenmalige sessies hanteer), nie mededingend nie.


Qubes OS

Filosofie: sekuriteit deur kompartimentering

Qubes OS verteenwoordig ’n fundamenteel ander benadering as al die vorige stelsels. Waar ander OS’e probeer om kompromitteringe te voorkom, vertrek Qubes van ’n radikaal ander beginsel: die kompromittering van sekere komponente is onvermydelik. Die doel is om te verseker dat dit nie kan versprei nie.

Geskep in 2012 deur sekuriteitsondersoeker Joanna Rutkowska, word Qubes OS publieklik aanbeveel deur Edward Snowden, onder andere sekuriteitspersoneel.

Die tegniese argitektuur

Die Xen-hypervisor as basislaag

Qubes is nie ’n Linux-verspreiding in die klassieke sin nie. Dit gebruik die Xen-hypervisor, ’n bare-metal-virtualiseringsagteware wat direk op die hardeware loop sonder ’n intermediêre gaas-OS, om ligte virtuele masjiene genaamd qubes te skep. Die isolasie tussen qubes word op hardewarevlak afgedwing, via Intel VT-x/VT-d en AMD-Vi (IOMMU)-tegnologie, wat VM’s verhinder om toegang te kry tot die geheue of randapparatuur van ander VM’s sonder uitdruklike toestemming.

dom0: die maksimale vertrouensdomein

Aan die bokant van die hiërargie is dom0, ’n bevoorregte domein vanwaar die lessenaarbestuurder uitgevoer word. dom0 bestuur die vertoning van al die vensters van ander qubes. Vir sekuriteit het dom0 geen netwerkverbinding nie en voer geen gebruikerstoepassings uit nie. Dit dien slegs om die vertoning en bestuur van domeine te orkestreer.

Die qubes: digtebeseëlde kompartemente

Die gebruiker definieer soveel qubes as nodig, elk wat ooreenstem met ’n vertrouenskonteks:

  • ’n “werk”-qube vir professionele toepassings
  • ’n “persoonlik”-qube vir e-pos en sosiale media
  • ’n “bank”-qube uitsluitlik vir finansiële transaksies
  • ’n “onbetroubaar”-qube vir die opening van verdagte aanhegsels
  • Weggooi-qubes wat volledig verdwyn wanneer dit gesluit word

Elke qube het sy eie netwerkstapel, sy eie geheuespasie, en sy eie prosesse. Wanware wat die “onbetroubaar”-qube kompromitteer, is tot daardie qube beperk. Dit het geen toegang tot lêers in die “werk”-qube nie, en kan nie na ander domeine oorsteek nie.

Die visuele kleurkode

Elke venster toon ’n gekleurde rand wat ooreenstem met die vertrouensvlak van sy qube: rooi vir onbetroubare domeine, groen vir hoësekuriteits-geïsoleerde domeine, geel vir semi-betroubare domeine. Hierdie eenvoudige visuele stelsel laat u op enige tydstip weet in watter konteks elke aksie plaasvind.

Templates en gesentraliseerde bestuur

Qubes bevat nie hul eie volledige OS-installasie nie: hulle deel templates (Fedora, Debian en Whonix by verstek). Sekuriteitsopdaterings word op die template toegepas, en alle qubes wat op daardie template gebaseer is, baat outomaties daarby.

PCI passthrough en hardeware-isolasie

Terwyl klassieke OS’e hardewaredrywers in dieselfde ruimte as gebruikerstoepassings laat loop, ken Qubes elke fisiese randapparaat (netwerkkaart, USB-beheerder) toe aan ’n toegewyde qube via PCI passthrough. ’n Gekompromitteerde netwerkdrywer het geen toegang tot data in ander qubes nie.

Whonix-integrasie

Qubes integreer Whonix natively as templates, wat toelaat dat die verkeer van enige qube deursigtig via Tor gerig word. Dit is die Qubes-Whonix-konfigurasie wat in die vorige afdeling beskryf word.

Wat Qubes werklik beskerm

AanvalscenarioKlassieke OSQubes OS
Wanware in ’n PDF-aanhegselMoontlike toegang tot die hele stelselBeperk tot die “onbetroubaar”-qube, vernietig by sluiting
Uitbuiting van ’n webblaaierToegang tot gebruikersprofiel, lêersBeperk tot die blaaier-qube
Kompromittering van ’n netwerkdrywerToegang tot stelselgeheueBeperk tot die netwerk-qube via PCI passthrough
Gesteelde PGP-sleutelJa, as die ondertekeningssagteware gekompromitteer isNee, as die sleutel in ’n toegewyde qube sonder netwerk is
Lek tussen toepassingsMoontlik via IPC, gedeelde geheueOnmoontlik tussen afsonderlike qubes

Eerlike beperkings

  • Qubes beskerm nie teen ’n kompromittering van dom0 nie: as die Xen-hypervisor self gekompromitteer word, kan die isolasie gebreek word (bulletin QSB-115 van 9 Junie