Výběr operačního systému není jen otázkou preference rozhraní nebo softwarové kompatibility. Je to stále více také rozhodnutí o bezpečnosti a soukromí. Každý OS sbírá data odlišně, vystavuje jiné útočné plochy a nabízí uživateli velmi různou míru kontroly. Toto srovnání analyzuje hlavní systémy na trhu výhradně z tohoto úhlu pohledu – od nejrozšířenějších po nejspecializovanější.
Klíčové kritérium: kdo ovládá váš systém?
Než přejdeme k podrobnostem jednotlivých OS, je třeba stanovit základní princip: bezpečnost operačního systému závisí zásadně na tom, kdo drží kód a jaká architektonická rozhodnutí byla učiněna při návrhu. Proprietární OS s uzavřeným kódem (Windows, macOS) deleguje tuto důvěru na svého vydavatele. Open source OS deleguje tuto důvěru na komunitu, která kód audituje. OS navržený pro kompartmentalizovanou bezpečnost (Qubes OS) vychází z předpokladu, že žádná součást systému by neměla být plně důvěryhodná.
Windows 11
Sběr dat a telemetrie
Windows 11 je nejpoužívanějším desktopovým OS na světě a zároveň jedním z těch, které ve výchozím nastavení sbírají nejvíce dat. Microsoft rozděluje svou telemetrii do dvou oficiálních kategorií:
Požadovaná data (nelze deaktivovat v edicích Home a Pro): konfigurace hardwaru, identifikátory zařízení, zprávy o chybách a stabilitě, data o aktualizacích a ovladačích. Tato data jsou přenášena společnosti Microsoft bez ohledu na preference uživatele.
Volitelná data: chování při používání, interakce s aplikacemi, personalizační data. Deaktivovatelná v nastavení, ale při některých hlavních aktualizacích automaticky znovu aktivovaná.
Windows 11 24H2 zavedl několik nových vrstev sběru dat souvisejících s AI:
- Windows Recall: pořizuje snímek obrazovky každých pět sekund za účelem vytvoření prohledávatelné časové osy veškeré vaší činnosti na počítači. Deaktivovatelný, ale ve výchozím nastavení zapnutý a propojený s přístupovými právy, která mohou rozšiřovat jiné aplikace
- Copilot: každý dotaz je přenášen na servery Microsoftu, včetně snímků obrazovky, vybraného textu a kontextu otevřených aplikací
- Defender Cloud Protection: odesílá hashové hodnoty podezřelých souborů a behaviorální data do cloudu Microsoftu k analýze
Závěr doložený mnoha nezávislými technickými zdroji je jednoznačný: ve Windows 11 v edicích Home a Pro není možné telemetrii zcela deaktivovat. Jediný způsob, jak toho dosáhnout, je použít edici Enterprise nebo Education, aplikovat specifické skupinové zásady, nebo využít nástroje třetích stran jako O&O ShutUp10++ nebo WPD – s rizikem nestability, které to může přinést.
Útočná plocha a bezpečnost
Windows 11 je cílem naprosté většiny malwarů, ransomwarů a exploitů dostupných ve světě, úměrně svému podílu na trhu. Microsoft zavedl významné bezpečnostní mechanismy (povinný TPM 2.0, Secure Boot, VBS, Credential Guard), ale ty fungují v monolitickém modelu: kompromitace jádra nebo privilegované systémové služby ovlivňuje celé prostředí.
Verdikt bezpečnost/soukromí: systém s nejvyšší expozicí v tomto srovnání, telemetrie není plně deaktivovatelná, model důvěry zcela delegován na Microsoft a americkou jurisdikci.
macOS
Sběr dat a telemetrie
Apple vybudoval část svého marketingového obrazu na soukromí. Technická realita je však jemnější.
macOS ve výchozím nastavení sbírá výrazně méně dat než Windows, ale sběr je stále reálný a částečně nedeaktivovatelný:
- Gatekeeper a ověřování OCSP: při každém otevření aplikace provede macOS online ověření na serverech Apple, aby potvrdil, že aplikace není odvolána. Tento požadavek přenáší informace o otevřené aplikaci a IP adrese zařízení. Žádné nativní nastavení neumožňuje tato ověření deaktivovat bez narušení bezpečnostního řetězce
- Analytika macOS: sběr dat o používání systému, deaktivovatelný v Předvolby systému > Soukromí > Analytika
- Telemetrie aplikací Apple: Mapy, Siri, App Store a ostatní integrované aplikace Apple si každá udržují vlastní sběr dat s rotujícími identifikátory, nezávisle na nastavení systémové analytiky
Pro pokročilejší ochranu bezpečnostní experti doporučují využití aplikačního firewallu (Little Snitch nebo LuLu, open source a zdarma) ke sledování a blokování odchozích připojení po jednotlivých aplikacích.
Útočná plocha a bezpečnost
macOS těží z několika solidních bezpečnostních mechanismů: System Integrity Protection (SIP) chrání systémové soubory v režimu pouze pro čtení, Kernel Integrity Protection na hardwarové úrovni u čipů Apple Silicon, sandboxing aplikací z App Store a Secure Enclave v nejnovějších zařízeních. Propojení s Apple ID je hlavním vektorem sběru osobních dat.
Verdikt bezpečnost/soukromí: lepší než Windows v oblasti výchozí telemetrie, ale stále podléhá nedeaktivovatelným OCSP ověřením, americké jurisdikci a uzavřenému modelu Apple. Nezávislý audit je obtížný.
Linux (obecné distribuce)
Linux není jediný operační systém, ale jádro, na němž jsou postaveny velmi odlišné distribuce. Z hlediska bezpečnosti a soukromí sdílejí společný základ, ale v řadě bodů se rozcházejí.
Ubuntu je nejoblíbenější distribucí pro začátečníky. V roce 2012 vzbudila kontroverzi odesíláním lokálních vyhledávání na servery Amazonu – toto chování bylo od té doby odstraněno. Ubuntu si udržuje vlastní sběr dat o používání (whoopsie, ubuntu-report), deaktivovatelný, a těsně integruje repozitáře Snap spravované společností Canonical Ltd.
Debian je základ, na němž je Ubuntu postaveno, bez vrstev přidaných Canonicalem. Spravován nekomerčním komunitním projektem s přísným závazkem vůči svobodnému softwaru, ve výchozím nastavení neshromažďuje žádnou telemetrii. Jeho konzervativní politika aktualizací je z hlediska útočné plochy obecně výhodnější.
Fedora, sponzorovaná Red Hatem (dceřinou společností IBM), je technicky moderní s rychlým cyklem aktualizací. Žádná výchozí telemetrie, ale vztah s Red Hat/IBM zavádí podnikovou závislost, kterou je třeba vzít v úvahu.
Linux Mint, odvozený od Ubuntu, je navržen pro uživatele přecházející z Windows. Odstranil nejkontroverznější komponenty Ubuntu (Snap ve výchozím nastavení chybí) a nezavádí vlastní telemetrii.
Arch Linux cílí na pokročilé uživatele s minimalistickou filozofií: uživatel instaluje pouze to, co potřebuje. Žádná telemetrie, průběžné aktualizace (rolling release), úplná svoboda přizpůsobení.
Co Linux přináší zásadně
- Otevřený a auditovatelný zdrojový kód: jakýkoliv bezpečnostní výzkumník může zkoumat kód jádra a hlavních komponent
- Žádná vynucená telemetrie: žádná hlavní distribuce nenutí k nedeaktivovatelné sbírce dat
- Přísnější model oprávnění ve výchozím nastavení: používání oddělených root účtů od každodenních úkonů
- Snížená útočná plocha: Linux je méně cílen hromadnými malwary
Verdikt bezpečnost/soukromí: výrazně lepší než Windows a macOS v oblasti sběru dat. Žádná obecná distribuce nechrání před kompromitací aplikace, která se rozšíří do celého systému.
Tails OS
Filozofie: amnézie jako ochrana
Tails, zkratka pro The Amnesic Incognito Live System, je operační systém založený na Debianu, který se v roce 2024 sloučil s Tor Project. Jeho filozofie se radikálně liší od všech ostatních OS: místo pokusu o zabezpečení trvalého prostředí odstraňuje veškerou persistenci ve výchozím nastavení. Tails existuje pouze po dobu relace.
Technická architektura
Tails se spouští výhradně z USB klíče (minimálně 8 GB) a běží celý v RAM. Po vypnutí nezůstane na hostitelském počítači žádná stopa: žádný dočasný soubor, žádná historie, žádné přihlašovací údaje, žádný forenzní artefakt na pevném disku použitého počítače. Nezáleží na tom, zda je tento počítač softwarově kompromitován: Tails nikdy na jeho disk nezapisuje.
Tor ve výchozím nastavení a bez výjimky
Veškerý síťový provoz Tailsu je systematicky směrován přes síť Tor. Pokud se některá aplikace pokusí navázat přímé spojení obcházející Tor, Tails ji zablokuje. Nelze používat Tails pro prohlížení bez Toru, a to ani omylem.
Šifrované trvalé úložiště (volitelné)
Ve výchozím nastavení Tails při každém vypnutí zapomene vše. Pro uživatele, kteří potřebují uchovat určitá data mezi relacemi, nabízí Tails Persistent Storage: šifrovaný svazek (LUKS) vytvořený na samotném USB klíči, chráněný přístupovou frází. Uživatel přesně volí, co je v něm uloženo: určité soubory, konfigurace aplikací, PGP klíče atd. Toto trvalé úložiště nemění amnézní povahu Tailsu vůči hostitelskému počítači – ovlivňuje pouze to, co je uchováno na USB klíči mezi dvěma relacemi.
Předinstalované nástroje
Tails je dodáván s sadou předkonfigurovaných nástrojů: Tor Browser, klient šifrované pošty, nástroj pro šifrování souborů (Kleopatra/GnuPG), klienti pro bezpečné zasílání zpráv a LibreOffice pro kancelářskou práci. Pro běžné použití s vysokou úrovní zabezpečení není třeba instalovat žádný další software.
Technická poznámka 2026: Tails 7.7 přidal upozornění pro zastaralé certifikáty Secure Boot, protože klíče Microsoftu z roku 2011 začínají expirovat v červnu 2026. Uživatelé, jejichž firmware UEFI není aktualizován, riskují, že na některých počítačích nebudou moci Tails spustit.
Co Tails chrání a co nechrání
| Hrozba | Ochrana Tails |
|---|---|
| Forenzní analýza hostitelského disku po zabavení | Úplná: hostitelský disk není nikdy dotčen |
| Sledování sítě (IP adresa, navštívené stránky) | Silná prostřednictvím Tor, závisí na robustnosti Tor |
| Trvalý malware na hostitelském počítači | Obejití: Tails nepoužívá instalovaný systém |
| BIOS/UEFI malware (kompromitovaný firmware) | Žádná: Tails nemůže chránit před firmwarem použitého počítače |
| Lidská chyba (přihlášení k osobnímu účtu) | Žádná: pokud se pod Tailsem přihlásíte k Gmailu, de-anonymizujete relaci |
| Kompromitace softwaru v průběhu relace | Omezena na aktuální relaci, zničenou při vypnutí |
Upřímná omezení
- Tails se nehodí pro každodenní použití: absence persistence znamená nutnost překonfigurovat prostředí při každém spuštění
- Malware na úrovni BIOSu nebo firmwaru (jako implantát na úrovni UEFI) může potenciálně kompromitovat relaci Tails, protože Tails nekontroluje vrstvu firmwaru počítače, na němž běží
- Přihlášení k osobnímu účtu (e-mail, sociální síť) ruší anonymitu relace bez ohledu na Tor
Pro koho?
Novináři pracující se zdroji přes SecureDrop, aktivisté pod dohledem v represivních režimech, kdokoli potřebující příležitostnou relaci s vysokou citlivostí na hardwaru, který nemá pod kontrolou. Používán Glennem Greenwaldtem a Laurou Poitras při zpracování dokumentů Snowdena, doporučován EFF, Freedom of the Press Foundation a Tor Project.
Verdikt: prvotřídní nástroj pro příležitostné relace s vysokou citlivostí. Není to hlavní OS pro každodenní použití.
Whonix
Filozofie: strukturální anonymita prostřednictvím síťové izolace
Whonix odpovídá na jinou otázku než Tails: místo mazání veškerých stop po relaci zajišťuje, že malware běžící v pracovním prostředí strukturálně nemůže znát skutečnou IP adresu uživatele, i kdyby měl práva root na pracovním virtuálním stroji.
Whonix je založen na Debianu (prostřednictvím KickSecure, zpevněné verze Debianu vyvíjené stejným týmem) a funguje uvnitř hypervizoru typu 2 (VirtualBox, KVM) na libovolném hostitelském OS, nebo nativně v Qubes OS jako typ 1.
Architektura dvou VM
Základním principem Whonixu je přísné oddělení síťové vrstvy od aplikační vrstvy, implementované prostřednictvím dvou oddělených virtuálních strojů:
Whonix-Gateway je první VM. Provozuje démon Tor a slouží výhradně jako síťová brána. Je jediným VM s přístupem k internetu. Neobsahuje žádné uživatelské aplikace. Jejím jediným úkolem je zachytit veškerý příchozí a odchozí síťový provoz a vynutit jeho průchod přes Tor.
Whonix-Workstation je druhý VM. Je to pracovní prostředí: prohlížeč, pošta, zpracování souborů, vývoj. Je připojena k internetu výhradně přes interní virtuální síť směřující na Whonix-Gateway. Nemá žádný přímý přístup k internetu, žádnou schopnost připojení, která by obcházela Gateway.
Takto probíhá síťový požadavek z Workstation:
- Aplikace vydá síťový požadavek
- Workstation jej přenese přes své interní síťové rozhraní na Gateway
- Gateway zachytí požadavek a přesměruje jej přes Tor (tři po sobě jdoucí relé)
- Odpověď se vrátí stejnou cestou opačným směrem
- Workstation obdrží odpověď, aniž by kdy znala skutečnou výstupní IP adresu
Základní záruka: i kdyby malware zkompromitoval Workstation s právy root, nemůže zjistit skutečnou IP adresu uživatele, protože Workstation k ní sama nikdy nemá přístup. Workstation vidí pouze interní IP adresu Gateway.
Další bezpečnostní mechanismy
Izolace streamů: Whonix používá oddělené Tor okruhy pro různé aplikace (prohlížeč nepoužívá stejný okruh jako e-mailový klient atd.), čímž zabraňuje korelaci provozu mezi různými aktivitami.
Randomizace boot hodin: systémové hodiny Workstation jsou při každém spuštění náhodně mírně posunuty, aby se zabránilo časovacím útokům založeným na přesném systémovém čase.
sdwdate: Whonix používá vlastního démona pro synchronizaci času (sdwdate), který získává čas přes Tor z onion serverů, místo klasického NTP, které by mohlo prozradit IP adresu.
AppArmor: profily AppArmor zpevňují sandboxing kritických aplikací, jako je Tor Browser, na úrovni systému.
Jednorázové VM: Whonix podporuje jednorázové Workstation (Whonix-Workstation DispVM v Qubes-Whonix) pro příležitostné úkoly bez persistence, podobně jako přístup Tails, ale v jinak trvalém prostředí.
Tři způsoby nasazení
Whonix na VirtualBox nebo KVM (typ 2): nejpřístupnější způsob. Oba VM běží na existujícím hostitelském OS (Windows, Linux, macOS). Pohodlné, ale zavádí další vrstvu důvěry v hostitelský OS: pokud je hostitel kompromitován, ochrana Whonixu může být obcházena.
Qubes-Whonix (typ 1, doporučeno): Whonix je nativně integrován do Qubes OS jako šablony. Gateway se stane ProxyVM (sys-whonix) a Workstation AppQube (anon-whonix). Jedná se o nejrobustnější konfiguraci, protože izolace závisí na bare-metal hypervizoru Xen, nikoli na hypervizoru typu 2 běžícím na potenciálně zranitelném hostitelském OS. Tuto kombinaci doporučují oba projekty.
Fyzická izolace (pokročilý režim): Gateway a Workstation běží na dvou oddělených fyzických počítačích propojených ethernetovým kabelem. Workstation nemá žádnou síťovou kartu kromě té připojené k Gateway. Tento režim drasticky snižuje základnu důvěry, ale vyžaduje dva dedikované počítače.
Co Whonix chrání a co nechrání
| Hrozba | Ochrana Whonix |
|---|---|
| Únik IP adresy z Workstation | Strukturálně nemožný dle architektury |
| DNS leaky | Nemožné: veškerý DNS prochází přes Tor skrz Gateway |
| Root malware na Workstation hledající skutečnou IP | Žádná: nenajde ji |
| Kompromitace samotné Gateway | Částečná: pokud je Gateway kompromitována, IP může uniknout |
| Kompromitace hostitelského OS (v režimu typ 2) | Žádná: kompromitovaný hostitel může sledovat oba VM |
| De-anonymizace chováním uživatele | Žádná: Whonix nechrání před lidskými chybami |
| Forenzní analýza disku po zabavení | Částečná: Whonix je ve výchozím nastavení trvalý, kromě jednorázových VM |
Upřímná omezení
- Whonix nemaže stopy na disku: je ve výchozím nastavení trvalý (na rozdíl od Tails). Pokud je váš počítač zabaven a šifrování hostitelského disku chybí nebo je slabé, data VM jsou obnovitelná
- V režimu typ 2 (VirtualBox/KVM na hostitelském OS) je bezpečnost Whonixu omezena bezpečností hostitelského OS. Kompromitovaný hostitel může potenciálně sledovat provoz mezi oběma VM
- Výkon je ovlivněn dvojitou virtualizací a směrováním přes Tor: připojení jsou pomalá, velká stahování jsou v každodenním provozu obtížná
Pro koho?
Kdokoli potřebující trvalé pracovní prostředí se strukturální síťovou anonymitou: vývoj citlivého softwaru, výzkum pod dlouhodobým pseudonymem, správa více oddělených digitálních identit, onion servery. Kombinace Qubes-Whonix je mnoha bezpečnostními experty považována za nejrobustnější anonymní pracovní prostředí aktuálně dostupné pro každodenní použití.
Verdikt: referenční OS pro strukturální síťovou anonymitu v trvalém prostředí. Doplňuje Tails (který řeší příležitostné relace), není jeho konkurentem.
Qubes OS
Filozofie: bezpečnost prostřednictvím kompartmentalizace
Qubes OS představuje zásadně odlišný přístup od všech předchozích systémů. Zatímco ostatní OS se snaží kompromitacím zabránit, Qubes vychází z radikálně odlišného předpokladu: kompromitace některých komponent je nevyhnutelná. Cílem je zajistit, aby se nemohla šířit.
Vytvořen v roce 2012 bezpečnostní výzkumnicí Joannou Rutkowskou, Qubes OS je veřejně doporučován Edwardem Snowdenem a dalšími bezpečnostními profesionály.
Technická architektura
Hypervizor Xen jako základní vrstva
Qubes není linuxová distribuce v klasickém slova smyslu. Využívá hypervizor Xen, bare-metal virtualizační software, který běží přímo na hardwaru bez mezivrstvového hostitelského OS, a vytváří lehké virtuální stroje zvané qubes. Izolace mezi qubes je vynucována na hardwarové úrovni prostřednictvím technologií Intel VT-x/VT-d a AMD-Vi (IOMMU), které brání VM v přístupu k paměti nebo zařízením jiných VM bez výslovného povolení.
dom0: doména maximální důvěry
Na vrcholu hierarchie se nachází dom0, privilegovaná doména, z níž je spouštěn správce plochy. dom0 spravuje zobrazení všech oken ostatních qubes. Z bezpečnostních důvodů nemá dom0 žádné síťové připojení a nespouští žádné uživatelské aplikace. Slouží výhradně k orchestraci zobrazení a správě domén.
Qubes: hermetické přihrádky
Uživatel definuje tolik qubes, kolik potřebuje, každý odpovídající úrovni důvěry:
- Qube “práce” pro pracovní aplikace
- Qube “osobní” pro e-maily a sociální sítě
- Qube “bankovnictví” vyhrazený výhradně pro finanční transakce
- Qube “nedůvěryhodný” pro otevírání podezřelých příloh
- Jednorázové qubes, které po zavření zcela zaniknou
Každý qube má vlastní síťový zásobník, vlastní paměťový prostor a vlastní procesy. Malware, který zkompromituje qube “nedůvěryhodný”, je v něm uzavřen. Nemůže přistoupit k souborům qubeů “práce” ani přejít do jiných domén.
Vizuální barevné kódování
Každé okno zobrazuje barevný rámeček odpovídající úrovni důvěry jeho qubeů: červený pro nedůvěryhodné domény, zelený pro vysoce bezpečné izolované domény, žlutý pro poloduůvěryhodné domény. Tento jednoduchý vizuální systém umožňuje kdykoli vědět, v jakém kontextu každá akce probíhá.
Šablony a centralizovaná správa
Qubes neobsahují vlastní kompletní instalaci OS: sdílejí šablony (Fedora, Debian a Whonix ve výchozím nastavení). Bezpečnostní aktualizace se aplikují na šablonu a všechny qubes na ní založené z nich automaticky těží.
PCI passthrough a hardwarová izolace
Zatímco klasické OS provozují hardwarové ovladače ve stejném prostoru jako uživatelské aplikace, Qubes přiřazuje každé fyzické zařízení (síťová karta, USB řadič) dedikovanému qubeů prostřednictvím PCI passthrough. Kompromitovaný síťový ovladač nemůže přistoupit k datům ostatních qubes.
Integrace Whonixu
Qubes nativně integruje Whonix jako šablony, což umožňuje transparentně směrovat provoz libovolného qubeů přes Tor. Jedná se o konfiguraci Qubes-Whonix popsanou v předchozí části.
Co Qubes skutečně chrání
| Scénář útoku | Klasický OS | Qubes OS |
|---|---|---|
| Malware v příloze PDF | Potenciální přístup k celému systému | Uzavřen do qubeů “nedůvěryhodný”, zničen po zavření |
| Zneužití webového prohlížeče | Přístup k profilu uživatele, souborům | Uzavřen do qubeů prohlížeče |
| Kompromitace síťového ovladače | Přístup k systémové paměti | Uzavřen do síťového qubeů přes PCI passthrough |
| Odcizení PGP klíče | Pokud je podpisový software kompromitován, ano | Ne, pokud je klíč v dedikovaném qubeů bez sítě |
| Únik mezi aplikacemi | Možný přes IPC, sdílenou paměť | Nemožný mezi různými qubes |
Upřímná omezení
- Qubes nechrání před kompromitací dom0: pokud je samotný hypervizor Xen kompromitován, izolace může být prolomená (bulletin QSB-115 ze 9. června 2026, týkající se zranitelnosti XSA-491)
- Žádná izolace v rámci téhož qubeů: dvě aplikace ve stejném qubeů nejsou navzájem izolovány
- Významné hardwarové požadavky: procesor s podporou VT-x/VT-d, minimálně 16 GB RAM (doporučeno 32 GB), 32 GB úložiště. Počítače Apple Silicon nejsou podporovány
- Skutečná křivka učení: kopírování a vkládání mezi qubes vyžaduje vědomou akci, instalace softwaru probíhá přes šablony
Pro koho?
Qubes OS je navržen pro profily, jejichž model hrozeb zahrnuje závažné protivníky: novináře pracující s citlivými zdroji, právníky spravující důvěrné spisy, bezpečnostní výzkum
