<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Qubes OS on Arpokrat</title>
    <link>https://arpokrat.com/ru/blog/tags/qubes-os/</link>
    <description>Recent content in Qubes OS on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>ru</language><lastBuildDate>Mon, 22 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/ru/blog/tags/qubes-os/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Какая операционная система подходит для вашей безопасности и конфиденциальности? Сравнение Windows, macOS, Linux, Tails, Whonix и Qubes OS</title>
      <link>https://arpokrat.com/ru/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</link>
      <pubDate>Mon, 22 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/ru/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</guid>
      <description>&lt;p&gt;Выбор операционной системы — это не только вопрос предпочтений интерфейса или совместимости программного обеспечения. Это также, и всё в большей степени, решение в области безопасности и конфиденциальности. Каждая ОС собирает данные по-разному, открывает различные векторы атак и предоставляет пользователю весьма различный уровень контроля. Данное сравнение анализирует основные системы на рынке исключительно с этой точки зрения — от наиболее распространённых до наиболее специализированных.&lt;/p&gt;
&lt;h2 id=&#34;ключевой-критерий-кто-контролирует-вашу-систему&#34;&gt;Ключевой критерий: кто контролирует вашу систему?&lt;/h2&gt;
&lt;p&gt;Прежде чем перейти к подробному рассмотрению каждой ОС, обозначим главный принцип: безопасность операционной системы фундаментально зависит от того, кто владеет кодом и какие архитектурные решения были приняты при проектировании. Проприетарная ОС с закрытым кодом (Windows, macOS) делегирует это доверие разработчику. ОС с открытым исходным кодом делегирует это доверие сообществу, проверяющему код. ОС, созданная для разделённой безопасности (Qubes OS), исходит из принципа, что ни один компонент системы не должен пользоваться абсолютным доверием.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;windows-11&#34;&gt;Windows 11&lt;/h2&gt;
&lt;h3 id=&#34;сбор-данных-и-телеметрия&#34;&gt;Сбор данных и телеметрия&lt;/h3&gt;
&lt;p&gt;Windows 11 — наиболее распространённая настольная ОС в мире и одна из тех, что собирает наибольший объём данных по умолчанию. Microsoft разделяет свою телеметрию на две официальные категории:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Обязательные данные&lt;/strong&gt; (не отключаемые в редакциях Home и Pro): конфигурация оборудования, идентификаторы устройства, отчёты об ошибках и стабильности, данные об обновлениях и драйверах. Эти данные передаются в Microsoft независимо от пользовательских настроек.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Необязательные данные&lt;/strong&gt;: поведение при использовании, взаимодействие с приложениями, данные персонализации. Отключаемые в настройках, однако автоматически повторно включаемые при некоторых крупных обновлениях.&lt;/p&gt;
&lt;p&gt;Windows 11 24H2 внедрил несколько новых уровней сбора данных, связанных с ИИ:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Windows Recall&lt;/strong&gt;: делает снимок экрана каждые пять секунд для создания доступной для поиска временной шкалы всего, что вы делали на своей машине. Отключаемый, но включённый по умолчанию и связанный с правами доступа, расширяемыми другими приложениями&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Copilot&lt;/strong&gt;: каждый запрос передаётся на серверы Microsoft, включая снимки экрана, выделенный текст и контекст открытых приложений&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Defender Cloud Protection&lt;/strong&gt;: отправляет хэши подозрительных файлов и поведенческие данные в облако Microsoft для анализа&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Вывод, задокументированный многочисленными независимыми техническими источниками, однозначен: полностью отключить телеметрию Windows 11 в редакциях Home и Pro невозможно. Единственный способ добиться этого — использовать редакцию Enterprise или Education, применять специальные групповые политики или прибегать к сторонним инструментам, таким как O&amp;amp;O ShutUp10++ или WPD, с сопутствующими рисками нестабильности.&lt;/p&gt;
&lt;h3 id=&#34;вектор-атак-и-безопасность&#34;&gt;Вектор атак и безопасность&lt;/h3&gt;
&lt;p&gt;Windows 11 является мишенью подавляющего большинства вредоносных программ, программ-вымогателей и эксплойтов в мире — пропорционально своей доле рынка. Microsoft внедрила значимые механизмы безопасности (обязательный TPM 2.0, Secure Boot, VBS, Credential Guard), однако они функционируют в монолитной модели: компрометация ядра или привилегированной системной службы затрагивает всю среду целиком.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт по безопасности/конфиденциальности:&lt;/strong&gt; наиболее уязвимая система в сравнении, с неотключаемой телеметрией и моделью доверия, полностью делегированной Microsoft и американской юрисдикции.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;macos&#34;&gt;macOS&lt;/h2&gt;
&lt;h3 id=&#34;сбор-данных-и-телеметрия-1&#34;&gt;Сбор данных и телеметрия&lt;/h3&gt;
&lt;p&gt;Apple выстроила часть своего маркетингового образа на теме конфиденциальности. Техническая реальность несколько сложнее.&lt;/p&gt;
&lt;p&gt;macOS по умолчанию собирает значительно меньше данных, чем Windows, однако сбор всё же присутствует и частично не отключаем:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Gatekeeper и проверка OCSP&lt;/strong&gt;: при каждом запуске приложения macOS выполняет онлайн-проверку на серверах Apple, подтверждая, что приложение не отозвано. Этот запрос передаёт информацию об открываемом приложении и IP-адрес устройства. Нативных настроек для отключения этих проверок без нарушения цепочки безопасности не существует&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Аналитика macOS&lt;/strong&gt;: сбор данных об использовании системы, отключаемый в Системных настройках &amp;gt; Конфиденциальность &amp;gt; Аналитика&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Телеметрия приложений Apple&lt;/strong&gt;: Maps, Siri, App Store и другие встроенные приложения Apple ведут собственный сбор данных с ротируемыми идентификаторами, независимо от общесистемного параметра аналитики&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Для более глубокой защиты эксперты по безопасности рекомендуют использовать прикладной брандмауэр (Little Snitch или LuLu — с открытым исходным кодом и бесплатный) для мониторинга и блокировки исходящих соединений на уровне каждого приложения.&lt;/p&gt;
&lt;h3 id=&#34;вектор-атак-и-безопасность-1&#34;&gt;Вектор атак и безопасность&lt;/h3&gt;
&lt;p&gt;macOS располагает рядом надёжных механизмов безопасности: System Integrity Protection (SIP), защищающий системные файлы только для чтения; Kernel Integrity Protection на аппаратном уровне для чипов Apple Silicon; изолированная среда для приложений App Store; и Secure Enclave на современных машинах. Связь с Apple ID является основным вектором сбора личных данных.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт по безопасности/конфиденциальности:&lt;/strong&gt; лучше Windows по телеметрии по умолчанию, но по-прежнему подчиняется неотключаемым проверкам OCSP, американской юрисдикции и закрытой модели Apple. Независимый аудит затруднён.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;linux-дистрибутивы-общего-назначения&#34;&gt;Linux (дистрибутивы общего назначения)&lt;/h2&gt;
&lt;p&gt;Linux — это не единственная операционная система, а ядро, на основе которого создаются самые разные дистрибутивы. С точки зрения безопасности и конфиденциальности они разделяют общую базу, однако расходятся в ряде аспектов.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Ubuntu&lt;/strong&gt; — наиболее популярный дистрибутив для начинающих. В 2012 году он вызвал споры, отправляя локальные поисковые запросы на серверы Amazon — поведение, с тех пор устранённое. Ubuntu поддерживает собственный сбор данных об использовании (whoopsie, ubuntu-report), который можно отключить, и тесно интегрирован с репозиториями Snap, контролируемыми Canonical Ltd.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Debian&lt;/strong&gt; — это основа, на которой построен Ubuntu, без добавленных Canonical слоёв. Управляется некоммерческим сообщественным проектом со строгой приверженностью свободному программному обеспечению, не собирает никакой телеметрии по умолчанию. Консервативная политика обновлений, как правило, предпочтительна с точки зрения минимизации вектора атак.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Fedora&lt;/strong&gt;, спонсируемая Red Hat (дочерней компанией IBM), технически современна с быстрым циклом обновлений. Телеметрия по умолчанию отсутствует, однако отношения с Red Hat/IBM вводят корпоративную зависимость, заслуживающую внимания.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Linux Mint&lt;/strong&gt;, производная от Ubuntu, создана для пользователей, переходящих с Windows. В ней удалены наиболее спорные компоненты Ubuntu (Snap по умолчанию отсутствует) и не вводится собственная телеметрия.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Arch Linux&lt;/strong&gt; ориентирована на опытных пользователей с минималистской философией: пользователь устанавливает только то, что ему нужно. Никакой телеметрии, непрерывные обновления (rolling release), полная свобода настройки.&lt;/p&gt;
&lt;h3 id=&#34;что-linux-даёт-в-принципе&#34;&gt;Что Linux даёт в принципе&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Открытый и проверяемый исходный код&lt;/strong&gt;: любой исследователь в области безопасности может изучить код ядра и основных компонентов&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Отсутствие навязанной телеметрии&lt;/strong&gt;: ни один крупный дистрибутив не принуждает к неотключаемому сбору данных&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Более строгая модель разрешений&lt;/strong&gt; по умолчанию: использование отдельной учётной записи root в отрыве от повседневных задач&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Сниженный вектор атак&lt;/strong&gt;: Linux является значительно менее распространённой мишенью для массовых вредоносных программ&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;Вердикт по безопасности/конфиденциальности:&lt;/strong&gt; значительно превосходит Windows и macOS по сбору данных. Ни один дистрибутив общего назначения не защищает от распространения компрометации одного приложения на всю систему.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;tails-os&#34;&gt;Tails OS&lt;/h2&gt;
&lt;h3 id=&#34;философия-амнезия-как-защита&#34;&gt;Философия: амнезия как защита&lt;/h3&gt;
&lt;p&gt;Tails, аббревиатура от &lt;em&gt;The Amnesic Incognito Live System&lt;/em&gt; — операционная система на базе Debian, объединившаяся с Tor Project в 2024 году. Её философия радикально отличается от всех прочих ОС: вместо того чтобы пытаться защитить постоянную среду, она по умолчанию устраняет любую постоянность. &lt;strong&gt;Tails существует лишь на протяжении одного сеанса.&lt;/strong&gt;&lt;/p&gt;
&lt;h3 id=&#34;техническая-архитектура&#34;&gt;Техническая архитектура&lt;/h3&gt;
&lt;p&gt;Tails запускается полностью с USB-накопителя (минимум 8 ГБ) и работает целиком в оперативной памяти. После выключения на хост-машине не остаётся никаких следов: ни временных файлов, ни истории, ни учётных данных, ни криминалистических артефактов на жёстком диске используемого ПК. Даже если этот ПК скомпрометирован на уровне программного обеспечения — Tails никогда ничего не записывает на его диск.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Tor по умолчанию и без исключений&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Весь сетевой трафик Tails систематически маршрутизируется через сеть Tor. Если приложение пытается установить прямое соединение, минуя Tor, Tails его блокирует. Использовать Tails для работы в интернете без Tor невозможно — даже случайно.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Зашифрованное постоянное хранилище (опционально)&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;По умолчанию Tails забывает всё при каждом выключении. Для пользователей, которым необходимо сохранять определённые данные между сеансами, Tails предлагает &lt;strong&gt;Persistent Storage&lt;/strong&gt;: зашифрованный том (LUKS), создаваемый на самом USB-накопителе и защищённый парольной фразой. Пользователь точно определяет, что там хранится: отдельные файлы, конфигурации приложений, PGP-ключи и т. д. Это постоянное хранилище не меняет амнестической природы Tails по отношению к хост-машине — оно влияет только на то, что сохраняется на USB-накопителе между сеансами.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Предустановленные инструменты&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Tails поставляется с набором предварительно настроенных инструментов: Tor Browser, клиент зашифрованной электронной почты, инструмент шифрования файлов (Kleopatra/GnuPG), клиенты защищённых мессенджеров и LibreOffice для офисных задач. Для повседневного использования в условиях высокой безопасности не требуется устанавливать никакого дополнительного программного обеспечения.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Техническое примечание 2026 года:&lt;/strong&gt; Tails 7.7 добавил уведомление об устаревших сертификатах Secure Boot, поскольку ключи Microsoft 2011 года начинают истекать в июне 2026 года. Пользователи, у которых прошивка UEFI не обновлена, рискуют потерять возможность загрузки Tails на некоторых машинах.&lt;/p&gt;
&lt;h3 id=&#34;от-чего-tails-защищает-и-от-чего--нет&#34;&gt;От чего Tails защищает и от чего — нет&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Угроза&lt;/th&gt;
					&lt;th&gt;Защита Tails&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Криминалистика диска хост-машины после изъятия&lt;/td&gt;
					&lt;td&gt;Полная: диск хоста никогда не затрагивается&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Сетевое наблюдение (IP, посещённые сайты)&lt;/td&gt;
					&lt;td&gt;Высокая — через Tor, но зависит от надёжности Tor&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Постоянное вредоносное ПО на хост-машине&lt;/td&gt;
					&lt;td&gt;Обходится: Tails не использует установленную систему&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;BIOS/UEFI-вредоносное ПО (скомпрометированная прошивка)&lt;/td&gt;
					&lt;td&gt;Нулевая: Tails не может защитить от прошивки используемой машины&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Человеческая ошибка (вход в личный аккаунт)&lt;/td&gt;
					&lt;td&gt;Нулевая: если вы входите в Gmail под Tails, вы деанонимизируете сеанс&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Компрометация программного обеспечения в сеансе&lt;/td&gt;
					&lt;td&gt;Ограничена текущим сеансом, который уничтожается при выключении&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;честные-ограничения&#34;&gt;Честные ограничения&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Tails не подходит для повседневного использования: отсутствие постоянности требует перенастройки среды при каждом запуске&lt;/li&gt;
&lt;li&gt;Вредоносное ПО типа BIOS или прошивки (например, имплант на уровне UEFI) потенциально способно скомпрометировать сеанс Tails, поскольку Tails не контролирует уровень прошивки машины, на которой работает&lt;/li&gt;
&lt;li&gt;Вход в личный аккаунт (электронная почта, социальная сеть) аннулирует анонимность сеанса независимо от Tor&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;для-кого&#34;&gt;Для кого?&lt;/h3&gt;
&lt;p&gt;Журналисты, работающие с источниками через SecureDrop; активисты под наблюдением в репрессивных режимах; все, кому необходим разовый высокочувствительный сеанс на оборудовании, находящемся вне их контроля. Использовался Гленном Гринвальдом и Лорой Пойтрас при работе с документами Сноудена; рекомендован EFF, Freedom of the Press Foundation и Tor Project.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт:&lt;/strong&gt; инструмент первого выбора для разовых высокочувствительных сеансов. Не является основной ОС для повседневного использования.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;whonix&#34;&gt;Whonix&lt;/h2&gt;
&lt;h3 id=&#34;философия-структурная-анонимность-через-сетевую-изоляцию&#34;&gt;Философия: структурная анонимность через сетевую изоляцию&lt;/h3&gt;
&lt;p&gt;Whonix отвечает на другой вопрос, нежели Tails: вместо того чтобы уничтожать все следы после сеанса, он обеспечивает, чтобы вредоносное ПО, работающее в рабочей среде, &lt;strong&gt;структурно не могло узнать реальный IP-адрес пользователя&lt;/strong&gt; — даже если оно обладает правами root на рабочей виртуальной машине.&lt;/p&gt;
&lt;p&gt;Whonix основан на Debian (через KickSecure — усиленную версию Debian, разработанную той же командой) и работает внутри гипервизора второго типа (VirtualBox, KVM) на любой хост-ОС или нативно в Qubes OS в качестве гипервизора первого типа.&lt;/p&gt;
&lt;h3 id=&#34;архитектура-с-двумя-вм&#34;&gt;Архитектура с двумя ВМ&lt;/h3&gt;
&lt;p&gt;Центральный принцип Whonix — &lt;strong&gt;строгое разделение между сетевым и прикладным уровнями&lt;/strong&gt;, реализованное посредством двух отдельных виртуальных машин:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Gateway&lt;/strong&gt; — первая ВМ. Она запускает демон Tor и служит исключительно сетевым шлюзом. Только она имеет доступ к интернету. Никаких пользовательских приложений в ней нет. Её единственная роль — перехватывать весь входящий и исходящий сетевой трафик и принудительно направлять его через Tor.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Workstation&lt;/strong&gt; — вторая ВМ. Это рабочая среда: браузер, мессенджеры, обработка файлов, разработка. Она подключена к интернету исключительно через внутреннюю виртуальную сеть, указывающую на Whonix-Gateway. У неё нет прямого доступа к интернету, нет возможности соединения в обход Gateway.&lt;/p&gt;
&lt;p&gt;Вот что происходит при сетевом запросе из Workstation:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Приложение отправляет сетевой запрос&lt;/li&gt;
&lt;li&gt;Workstation передаёт его через внутренний сетевой интерфейс на Gateway&lt;/li&gt;
&lt;li&gt;Gateway перехватывает запрос и перенаправляет его через Tor (три последовательных ретранслятора)&lt;/li&gt;
&lt;li&gt;Ответ возвращается тем же путём в обратном направлении&lt;/li&gt;
&lt;li&gt;Workstation получает ответ, так и не узнав реальный исходящий IP-адрес&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;strong&gt;Фундаментальная гарантия&lt;/strong&gt;: даже если вредоносное ПО компрометирует Workstation с правами root, оно не может узнать реальный IP-адрес пользователя, поскольку сама Workstation никогда к нему не имела доступа. Workstation видит только внутренний IP-адрес Gateway.&lt;/p&gt;
&lt;h3 id=&#34;дополнительные-механизмы-безопасности&#34;&gt;Дополнительные механизмы безопасности&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Stream isolation&lt;/strong&gt;: Whonix использует отдельные цепи Tor для разных приложений (браузер использует не ту же цепь, что почтовый клиент и т. д.), что предотвращает корреляцию трафика между различными видами деятельности.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Boot clock randomization&lt;/strong&gt;: системные часы Workstation при каждом запуске незначительно случайно смещаются, чтобы предотвратить атаки по времени, основанные на точном системном времени.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;sdwdate&lt;/strong&gt;: Whonix использует собственный демон синхронизации времени (sdwdate), получающий время через Tor с onion-серверов, вместо классического NTP, который мог бы раскрыть IP-адрес.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;AppArmor&lt;/strong&gt;: профили AppArmor усиливают изоляцию критически важных приложений, таких как Tor Browser, на уровне системы.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Одноразовые ВМ&lt;/strong&gt;: Whonix поддерживает одноразовые Workstation (&lt;em&gt;Whonix-Workstation DispVM&lt;/em&gt; в Qubes-Whonix) для разовых задач без постоянства — аналогично подходу Tails, но в рамках в остальном постоянной среды.&lt;/p&gt;
&lt;h3 id=&#34;три-режима-развёртывания&#34;&gt;Три режима развёртывания&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Whonix на VirtualBox или KVM (тип 2)&lt;/strong&gt;: наиболее доступный режим. Обе ВМ работают на существующей хост-ОС (Windows, Linux, macOS). Удобно, но вводит дополнительный уровень доверия к хост-ОС: если хост скомпрометирован, защита Whonix может быть обойдена.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes-Whonix (тип 1, рекомендуется)&lt;/strong&gt;: Whonix интегрирован нативно в Qubes OS как шаблоны. Gateway становится ProxyVM (sys-whonix), а Workstation — AppQube (anon-whonix). Это наиболее надёжная конфигурация, поскольку изоляция основана на гипервизоре Xen bare-metal, а не на гипервизоре второго типа, работающем на потенциально уязвимой хост-ОС. Это сочетание рекомендовано обоими проектами.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Физическая изоляция (продвинутый режим)&lt;/strong&gt;: Gateway и Workstation работают на двух отдельных физических машинах, соединённых Ethernet-кабелем. У Workstation нет никаких сетевых карт, кроме той, что подключена к Gateway. Этот режим резко сокращает базу доверия, но требует двух выделенных машин.&lt;/p&gt;
&lt;h3 id=&#34;от-чего-whonix-защищает-и-от-чего--нет&#34;&gt;От чего Whonix защищает и от чего — нет&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Угроза&lt;/th&gt;
					&lt;th&gt;Защита Whonix&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Утечка IP-адреса из Workstation&lt;/td&gt;
					&lt;td&gt;Структурно невозможна по архитектуре&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;DNS-утечки&lt;/td&gt;
					&lt;td&gt;Невозможны: весь DNS проходит через Tor через Gateway&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Вредоносное ПО root на Workstation, ищущее реальный IP&lt;/td&gt;
					&lt;td&gt;Нулевая: оно его не найдёт&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Компрометация самой Gateway&lt;/td&gt;
					&lt;td&gt;Частичная: если Gateway скомпрометирована, IP может утечь&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Компрометация хост-ОС (в режиме тип 2)&lt;/td&gt;
					&lt;td&gt;Нулевая: скомпрометированный хост может наблюдать за обеими ВМ&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Деанонимизация через поведение пользователя&lt;/td&gt;
					&lt;td&gt;Нулевая: Whonix не защищает от человеческих ошибок&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Криминалистика диска после изъятия&lt;/td&gt;
					&lt;td&gt;Частичная: Whonix по умолчанию постоянен, кроме одноразовых ВМ&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;честные-ограничения-1&#34;&gt;Честные ограничения&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Whonix не уничтожает следы на диске: он постоянен по умолчанию (в отличие от Tails). Если ваша машина изъята, а шифрование диска хоста отсутствует или слабое, данные ВМ могут быть восстановлены&lt;/li&gt;
&lt;li&gt;В режиме тип 2 (VirtualBox/KVM на хост-ОС) безопасность Whonix ограничена безопасностью хост-ОС. Скомпрометированный хост потенциально может наблюдать трафик между двумя ВМ&lt;/li&gt;
&lt;li&gt;Производительность снижается из-за двойной виртуализации и маршрутизации через Tor: соединения медленные, крупные загрузки затруднены в повседневном использовании&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;для-кого-1&#34;&gt;Для кого?&lt;/h3&gt;
&lt;p&gt;Все, кому нужна постоянная рабочая среда со структурной сетевой анонимностью: разработка чувствительного программного обеспечения, продолжительные исследования под псевдонимом, управление несколькими отдельными цифровыми идентичностями, onion-серверы. Комбинация Qubes-Whonix считается многими экспертами по безопасности наиболее надёжной анонимной рабочей средой, доступной на сегодняшний день для повседневного использования.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт:&lt;/strong&gt; эталонная ОС для структурной сетевой анонимности в постоянной среде. Дополняет Tails (который предназначен для разовых сеансов), а не конкурирует с ним.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;qubes-os&#34;&gt;Qubes OS&lt;/h2&gt;
&lt;h3 id=&#34;философия-безопасность-через-компартментализацию&#34;&gt;Философия: безопасность через компартментализацию&lt;/h3&gt;
&lt;p&gt;Qubes OS представляет принципиально иной подход по сравнению со всеми предыдущими системами. Там, где другие ОС пытаются предотвратить компрометацию, Qubes исходит из радикально иного постулата: &lt;strong&gt;компрометация отдельных компонентов неизбежна. Цель — убедиться, что она не может распространиться.&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Созданная в 2012 году исследователем безопасности Иоанной Рутковской, Qubes OS публично рекомендована Эдвардом Сноуденом и другими специалистами в области безопасности.&lt;/p&gt;
&lt;h3 id=&#34;техническая-архитектура-1&#34;&gt;Техническая архитектура&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Гипервизор Xen как базовый уровень&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Qubes — это не дистрибутив Linux в классическом смысле. Он использует &lt;strong&gt;гипервизор Xen&lt;/strong&gt; — программное обеспечение виртуализации bare-metal, выполняющееся непосредственно на оборудовании без промежуточной хост-ОС, для создания лёгких виртуальных машин, называемых &lt;strong&gt;qubes&lt;/strong&gt;. Изоляция между qubes обеспечивается на аппаратном уровне с помощью технологий &lt;strong&gt;Intel VT-x/VT-d&lt;/strong&gt; и &lt;strong&gt;AMD-Vi (IOMMU)&lt;/strong&gt;, которые не позволяют ВМ получать доступ к памяти или периферийным устройствам других ВМ без явного разрешения.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;dom0: домен максимального доверия&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;На вершине иерархии находится &lt;strong&gt;dom0&lt;/strong&gt; — привилегированный домен, из которого запускается менеджер рабочего стола. dom0 управляет отображением всех окон остальных qubes. В целях безопасности dom0 &lt;strong&gt;не имеет сетевого подключения&lt;/strong&gt; и не запускает никаких пользовательских приложений. Его единственная роль — оркестрировать отображение и управление доменами.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes: герметичные отсеки&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Пользователь определяет столько qubes, сколько необходимо, каждый из которых соответствует определённому контексту доверия:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Qube &lt;strong&gt;«работа»&lt;/strong&gt; для профессиональных приложений&lt;/li&gt;
&lt;li&gt;Qube &lt;strong&gt;«личное»&lt;/strong&gt; для электронной почты и социальных сетей&lt;/li&gt;
&lt;li&gt;Qube &lt;strong&gt;«банк»&lt;/strong&gt;, предназначенный исключительно для финансовых операций&lt;/li&gt;
&lt;li&gt;Qube &lt;strong&gt;«ненадёжное»&lt;/strong&gt; для открытия подозрительных вложений&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Одноразовые qubes&lt;/strong&gt;, которые полностью исчезают при закрытии&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Каждый qube имеет собственный сетевой стек, собственное адресное пространство памяти и собственные процессы. Вредоносное ПО, компрометирующее qube «ненадёжное», ограничено этим qube. Оно не может получить доступ к файлам qube «работа» или перейти в другие домены.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Визуальная цветовая кодировка&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Каждое окно отображает цветную рамку, соответствующую уровню доверия своего q&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>