<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Telemetry on Arpokrat</title>
    <link>https://arpokrat.com/sw/blog/tags/telemetry/</link>
    <description>Recent content in Telemetry on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>sw</language><lastBuildDate>Mon, 22 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/sw/blog/tags/telemetry/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Mfumo gani wa uendeshaji kwa usalama na faragha yako? Windows, macOS, Linux, Tails, Whonix na Qubes OS vikilinganishwa</title>
      <link>https://arpokrat.com/sw/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</link>
      <pubDate>Mon, 22 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/sw/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</guid>
      <description>&lt;p&gt;Uchaguzi wa mfumo wa uendeshaji si suala la upendeleo wa kiolesura au uoanifu wa programu peke yake. Ni pia, na kwa kiwango kinachozidi, uamuzi wa usalama na faragha. Kila OS hukusanya data kwa njia tofauti, huonyesha nyuso tofauti za mashambulizi, na hutoa kiwango tofauti sana cha udhibiti kwa mtumiaji. Ulinganisho huu unachambua mifumo mikuu ya soko hasa kutoka mtazamo huu, kuanzia ile iliyoenea zaidi hadi ile maalum zaidi.&lt;/p&gt;
&lt;h2 id=&#34;kigezo-kikuu-nani-anadhibiti-mfumo-wako&#34;&gt;Kigezo kikuu: nani anadhibiti mfumo wako?&lt;/h2&gt;
&lt;p&gt;Kabla ya kuingia katika maelezo ya kila OS, kanuni msingi ya kimuundo: usalama wa mfumo wa uendeshaji unategemea kimsingi nani anashikilia msimbo wake na maamuzi gani ya kimuundo yalifanywa wakati wa uundaji. OS ya umiliki wenye msimbo uliofungwa (Windows, macOS) huhamisha imani hiyo kwa mchapishaji wake. OS ya chanzo wazi huhamisha imani hiyo kwa jamii inayokagua msimbo. OS iliyoundwa kwa usalama wa aina (Qubes OS) inaanzia na dhana kwamba hakuna sehemu yoyote ya mfumo inayostahili kuaminiwa kabisa.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;windows-11&#34;&gt;Windows 11&lt;/h2&gt;
&lt;h3 id=&#34;ukusanyaji-wa-data-na-telemetry&#34;&gt;Ukusanyaji wa data na telemetry&lt;/h3&gt;
&lt;p&gt;Windows 11 ni OS ya mezani inayotumiwa zaidi duniani, na pia moja ya zinazokusanya data nyingi zaidi kwa chaguo-msingi. Microsoft hugawanya telemetry yake katika makundi mawili rasmi:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Data zinazohitajika&lt;/strong&gt; (haziwezi kuzimwa katika toleo la Home na Pro): usanidi wa vifaa, vitambulisho vya kifaa, ripoti za makosa na utulivu, data za masasisho na madereva. Data hizi hupelekwa kwa Microsoft bila kujali mapendeleo ya mtumiaji.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Data za hiari&lt;/strong&gt;: tabia ya matumizi, mwingiliano na programu, data za ubinafsishaji. Zinaweza kuzimwa katika mipangilio, lakini huanzishwa tena kiotomatiki wakati wa baadhi ya masasisho makubwa.&lt;/p&gt;
&lt;p&gt;Windows 11 24H2 ilianzisha tabaka kadhaa mpya za ukusanyaji zinazohusiana na AI:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Windows Recall&lt;/strong&gt;: hupiga picha ya skrini kila sekunde tano ili kuunda ratiba inayoweza kutafutwa ya kila kitu ulichofanya kwenye mashine yako. Inaweza kuzimwa, lakini imewashwa kwa chaguo-msingi na imeunganishwa na haki za ufikiaji zinazoweza kupanuliwa na programu nyingine&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Copilot&lt;/strong&gt;: kila ombi hupelekwa kwa seva za Microsoft, ikiwa ni pamoja na picha za skrini, maandishi yaliyochaguliwa na muktadha wa programu zilizo wazi&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Defender Cloud Protection&lt;/strong&gt;: hutuma vichwa vya faili zinazoshukiwa na data za kitabia kwa wingu la Microsoft kwa uchambuzi&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Hitimisho lililoundwa na vyanzo vingi vya kiteknolojia huru ni wazi: haiwezekani kuzima kabisa telemetry ya Windows 11 katika matoleo ya Home na Pro. Njia pekee ya kufanikisha hilo ni kutumia toleo la Enterprise au Education, kutumia sera maalum za kikundi, au kutumia zana za wahusika wengine kama O&amp;amp;O ShutUp10++ au WPD, na hatari za kutokuwa imara ambazo zinaweza kusababishwa na hilo.&lt;/p&gt;
&lt;h3 id=&#34;uso-wa-mashambulizi-na-usalama&#34;&gt;Uso wa mashambulizi na usalama&lt;/h3&gt;
&lt;p&gt;Windows 11 ndiyo lengo la idadi kubwa ya programu hasidi, ransomware na unyonyaji unaopatikana duniani, sawia na sehemu yake ya soko. Microsoft ilianzisha mifumo muhimu ya usalama (TPM 2.0 ya lazima, Secure Boot, VBS, Credential Guard), lakini hizi zinafanya kazi katika mfano wa muundo mmoja: udhaifu wa kiini au huduma ya mfumo yenye mamlaka huathiri mazingira yote.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Uamuzi wa usalama/faragha:&lt;/strong&gt; mfumo ulio wazi zaidi katika ulinganisho, telemetry isiyoweza kuzimwa kabisa, mfano wa imani uliohamishwa kabisa kwa Microsoft na mamlaka ya kisheria ya Marekani.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;macos&#34;&gt;macOS&lt;/h2&gt;
&lt;h3 id=&#34;ukusanyaji-wa-data-na-telemetry-1&#34;&gt;Ukusanyaji wa data na telemetry&lt;/h3&gt;
&lt;p&gt;Apple ilijenga sehemu ya picha yake ya masoko juu ya faragha. Ukweli wa kiufundi ni mgumu zaidi.&lt;/p&gt;
&lt;p&gt;macOS hukusanya data chache zaidi kuliko Windows kwa chaguo-msingi, lakini ukusanyaji bado unaendelea na hauwezi kuzimwa kwa sehemu:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Gatekeeper na uthibitisho wa OCSP&lt;/strong&gt;: kila wakati programu inafunguliwa, macOS hufanya uthibitisho wa mtandaoni na seva za Apple ili kuthibitisha kwamba programu haijafutwa. Ombi hili hupeleka taarifa kuhusu programu iliyofunguliwa na anwani ya IP ya kifaa. Hakuna mpangilio wa asili unaoruhusu kuzima uthibitisho huu bila kuvunja mnyororo wa usalama&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Uchambuzi wa macOS&lt;/strong&gt;: ukusanyaji wa data kuhusu matumizi ya mfumo, unaweza kuzimwa katika Mapendeleo ya Mfumo &amp;gt; Faragha &amp;gt; Uchambuzi&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Telemetry ya programu za Apple&lt;/strong&gt;: Maps, Siri, App Store na programu nyingine zilizojengwa za Apple huendeleza ukusanyaji wao wenyewe, na vitambulisho vinavyobadilika, bila kujali mpangilio wa uchambuzi wa mfumo&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Ili kwenda mbali zaidi, wataalamu wa usalama wanapendekeza kutumia ngome ya programu (Little Snitch au LuLu, chanzo wazi na bila malipo) ili kufuatilia na kuzuia miunganisho inayotoka nje programu kwa programu.&lt;/p&gt;
&lt;h3 id=&#34;uso-wa-mashambulizi-na-usalama-1&#34;&gt;Uso wa mashambulizi na usalama&lt;/h3&gt;
&lt;p&gt;macOS inufaika na mifumo kadhaa imara ya usalama: System Integrity Protection (SIP) inayolinda faili za mfumo kwa kusomwa tu, Kernel Integrity Protection katika kiwango cha vifaa kwenye chips za Apple Silicon, sandboxing ya programu za App Store, na Secure Enclave kwenye mashine za hivi karibuni. Uhusiano na Apple ID ndiyo njia kuu ya ukusanyaji wa data za kibinafsi.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Uamuzi wa usalama/faragha:&lt;/strong&gt; bora kuliko Windows kuhusu telemetry ya chaguo-msingi, lakini bado inakabiliwa na uthibitisho wa OCSP usioweza kuzimwa, mamlaka ya kisheria ya Marekani, na mfano uliofungwa wa Apple. Ni vigumu kukagua kwa uhuru.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;linux-usambazaji-wa-jumla&#34;&gt;Linux (usambazaji wa jumla)&lt;/h2&gt;
&lt;p&gt;Linux si mfumo mmoja wa uendeshaji bali kiini ambacho usambazaji tofauti sana umejengwa juu yake. Kutoka mtazamo wa usalama na faragha, wanashiriki msingi wa pamoja lakini hutofautiana katika mambo kadhaa.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Ubuntu&lt;/strong&gt; ni usambazaji maarufu zaidi kwa waanzilishi. Ulianzisha msisimko mwaka 2012 kwa kutuma utafutaji wa ndani kwa seva za Amazon, tabia iliyoondolewa tangu wakati huo. Ubuntu huhifadhi ukusanyaji wake wenyewe wa data za matumizi (whoopsie, ubuntu-report), unaoweza kuzimwa, na huunganisha kwa karibu hifadhi zake za Snap zinazosimamiwa na Canonical Ltd.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Debian&lt;/strong&gt; ndiyo msingi ambao Ubuntu imejengwa juu yake, bila tabaka zilizoongezwa na Canonical. Inafanywa na mradi wa jamii wa faida isiyo ya kibiashara, wenye dhamira kali kwa programu huru, haikusanyi telemetry yoyote kwa chaguo-msingi. Sera yake ya masasisho ya kihafidhina kwa ujumla inapendelewa kwa suala la nyuso za mashambulizi.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Fedora&lt;/strong&gt;, inayofadhiliwa na Red Hat (tanzu ya IBM), ni ya kisasa kiteknolojia na mzunguko wa haraka wa masasisho. Hakuna telemetry kwa chaguo-msingi, lakini uhusiano na Red Hat/IBM huanzisha utegemezi wa shirika wa kuzingatia.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Linux Mint&lt;/strong&gt;, inayotokana na Ubuntu, imeundwa kwa watumiaji wanaotoka Windows. Iliondoa vipengele zaidi vya utata vya Ubuntu (Snap haipo kwa chaguo-msingi) na haianzishi telemetry yake yenyewe.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Arch Linux&lt;/strong&gt; inalenga watumiaji wa kina wenye falsafa ya unyonge: mtumiaji husakinisha tu anachohitaji. Hakuna telemetry, masasisho yanayoendelea (rolling release), uhuru kamili wa ubinafsishaji.&lt;/p&gt;
&lt;h3 id=&#34;anachotoa-linux-kimsingi&#34;&gt;Anachotoa Linux kimsingi&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Msimbo wa chanzo wazi na unaoweza kukaguliwa&lt;/strong&gt;: mtafiti yeyote wa usalama anaweza kukagua msimbo wa kiini na vipengele vikuu&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Kutokuwepo kwa telemetry inayolazimishwa&lt;/strong&gt;: hakuna usambazaji mkuu unaolazimisha ukusanyaji wa data usioweza kuzimwa&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Mfano mkali zaidi wa ruhusa&lt;/strong&gt; kwa chaguo-msingi: matumizi ya akaunti ya root iliyotenganishwa na vitendo vya kila siku&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Uso wa mashambulizi uliopunguzwa&lt;/strong&gt;: Linux inalenga kidogo zaidi na programu hasidi za wingi&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;Uamuzi wa usalama/faragha:&lt;/strong&gt; bora zaidi kuliko Windows na macOS kuhusu ukusanyaji wa data. Hakuna usambazaji wa jumla unaolinda dhidi ya udhaifu wa programu unaoenea kwa mfumo wote.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;tails-os&#34;&gt;Tails OS&lt;/h2&gt;
&lt;h3 id=&#34;falsafa-kutokumbuka-kama-ulinzi&#34;&gt;Falsafa: kutokumbuka kama ulinzi&lt;/h3&gt;
&lt;p&gt;Tails, kifupisho cha &lt;em&gt;The Amnesic Incognito Live System&lt;/em&gt;, ni mfumo wa uendeshaji unaotegemea Debian ambao uliungana na Tor Project mwaka 2024. Falsafa yake ni tofauti kabisa na mifumo yote mingine: badala ya kujaribu kuimarisha mazingira ya kudumu, huondoa uthabiti wote kwa chaguo-msingi. &lt;strong&gt;Tails inawepo tu wakati wa kikao kimoja.&lt;/strong&gt;&lt;/p&gt;
&lt;h3 id=&#34;muundo-wa-kiufundi&#34;&gt;Muundo wa kiufundi&lt;/h3&gt;
&lt;p&gt;Tails hufanya kazi kabisa kutoka kwa fimbo ya USB (angalau GB 8) na hufanya kazi kabisa kwenye RAM. Unapoizima, haibaki alama yoyote kwenye mashine inayoifanya mwenyeji: hakuna faili za muda, historia, hati, wala alama za uchunguzi wa kidijitali kwenye diski ngumu ya PC inayotumiwa. Haijalishi kama PC hiyo imeathiriwa katika kiwango cha programu: Tails haiandiki kamwe kwenye diski yake.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Tor kwa chaguo-msingi na bila ubaguzi&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Trafiki yote ya mtandao ya Tails hupitishwa kwa utaratibu kupitia mtandao wa Tor. Ikiwa programu inajaribu kuanzisha muunganisho wa moja kwa moja bila kupitia Tor, Tails huuzuia. Haiwezekani kutumia Tails kuvinjari bila Tails, hata kwa makosa.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Hifadhi ya kudumu iliyosimbwa (ya hiari)&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Kwa chaguo-msingi, Tails husahau kila kitu kila wakati inazimwa. Kwa watumiaji wanaohitaji kuhifadhi data fulani kati ya vikao, Tails hutoa &lt;strong&gt;Persistent Storage&lt;/strong&gt;: kiasi kilichosimbwa (LUKS) kilichoundwa kwenye fimbo ya USB yenyewe, kinachohifadhiwa na neno siri. Mtumiaji huchagua kwa usahihi kinachohifadhiwa humo: faili fulani, usanidi wa programu, funguo za PGP, n.k. Hifadhi hii ya kudumu haibadilishi asili ya kusahau ya Tails kuhusu mashine inayoifanya mwenyeji, inaathiri tu kinachohifadhiwa kwenye fimbo ya USB kati ya vikao viwili.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Zana zilizosakinishwa awali&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Tails huja na seti ya zana zilizosanidiwa awali: Tor Browser, mteja wa barua pepe iliyosimbwa, zana ya kusimba faili (Kleopatra/GnuPG), wateja wa ujumbe salama, na LibreOffice kwa kazi za ofisi. Hakuna programu ya ziada inayohitaji kusakinishwa kwa matumizi ya kawaida ya usalama wa hali ya juu.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Kumbuka ya kiufundi 2026:&lt;/strong&gt; Tails 7.7 iliongeza arifa kwa vyeti vya Secure Boot vilivyopitwa na wakati, kwani funguo za Microsoft za 2011 zinaanza kumalizika muda wake mnamo Juni 2026. Watumiaji ambao firmware ya UEFI yao haijasasishwa wanaweza kushindwa kuanzisha Tails kwenye mashine fulani.&lt;/p&gt;
&lt;h3 id=&#34;tails-inalinda-dhidi-ya-nini-na-hakilindi-dhidi-ya-nini&#34;&gt;Tails inalinda dhidi ya nini na hakilindi dhidi ya nini&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Tishio&lt;/th&gt;
					&lt;th&gt;Ulinzi wa Tails&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Uchunguzi wa kidijitali wa diski ya mwenyeji baada ya kukamata&lt;/td&gt;
					&lt;td&gt;Kamili: diski ya mwenyeji haiathiriwi kamwe&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Ufuatiliaji wa mtandao (IP, tovuti zilizotembelewa)&lt;/td&gt;
					&lt;td&gt;Nguvu kupitia Tor, lakini inategemea nguvu ya Tor&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Programu hasidi inayodumu kwenye mashine ya mwenyeji&lt;/td&gt;
					&lt;td&gt;Inarudi pembeni: Tails haitumii mfumo uliosakinishwa&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Programu hasidi ya BIOS/UEFI (firmware iliyoathiriwa)&lt;/td&gt;
					&lt;td&gt;Hakuna: Tails haiwezi kulinda dhidi ya firmware ya mashine inayotumiwa&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Kosa la kibinadamu (kuunganika kwa akaunti ya kibinafsi)&lt;/td&gt;
					&lt;td&gt;Hakuna: ukijiunga na Gmail chini ya Tails, unafuta utambulisho wa siri wa kikao&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Uathiriaji wa programu katika kikao&lt;/td&gt;
					&lt;td&gt;Umepunguzwa kwa kikao kinachoendelea, kinaharibiwa wakati wa kuzima&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;mipaka-ya-uaminifu&#34;&gt;Mipaka ya uaminifu&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Tails haifai kwa matumizi ya kila siku: kutokuwepo kwa uthabiti kunamaanisha kusanidi tena mazingira kila wakati wa kuanzisha&lt;/li&gt;
&lt;li&gt;Programu hasidi ya aina ya BIOS au firmware (kama kipandikizi katika kiwango cha UEFI) inaweza uwezekano kuathiri kikao cha Tails, kwani Tails haididhibiti tabaka la firmware ya mashine inayofanya kazi&lt;/li&gt;
&lt;li&gt;Kuunganika kwa akaunti ya kibinafsi (barua pepe, mtandao wa kijamii) hubatilisha utambulisho wa siri wa kikao, bila kujali Tor&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;kwa-nani&#34;&gt;Kwa nani?&lt;/h3&gt;
&lt;p&gt;Waandishi wa habari wanaofanya kazi na vyanzo kupitia SecureDrop, wanamshirika wanaosimamiwa katika serikali za ukandamizaji, mtu yeyote anayehitaji kikao cha mara moja cha hisia ya juu kwenye vifaa visivyodhibitiwa. Ilitumika na Glenn Greenwald na Laura Poitras kushughulikia hati za Snowden, inapendekezwa na EFF, Freedom of the Press Foundation na Tor Project.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Uamuzi:&lt;/strong&gt; zana ya kwanza kwa vikao vya mara moja vya hisia ya juu. Si OS kuu kwa matumizi ya kila siku.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;whonix&#34;&gt;Whonix&lt;/h2&gt;
&lt;h3 id=&#34;falsafa-kutokujulikana-kwa-kimuundo-kupitia-kutengwa-kwa-mtandao&#34;&gt;Falsafa: kutokujulikana kwa kimuundo kupitia kutengwa kwa mtandao&lt;/h3&gt;
&lt;p&gt;Whonix inajibu swali tofauti kutoka kwa Tails: badala ya kuondoa kila alama baada ya kikao, inihakikishia kwamba programu hasidi inayofanya kazi katika mazingira ya kazi &lt;strong&gt;haiwezi kwa kimuundo kujua anwani ya kweli ya IP ya mtumiaji&lt;/strong&gt;, hata kama ina haki za root kwenye mashine ya kawaida.&lt;/p&gt;
&lt;p&gt;Whonix inategemea Debian (kupitia KickSecure, toleo gumu la Debian lililoundwa na timu ile ile) na hufanya kazi ndani ya hypervisor ya aina ya 2 (VirtualBox, KVM) kwenye OS yoyote ya mwenyeji, au kwa asili ndani ya Qubes OS kama aina ya 1.&lt;/p&gt;
&lt;h3 id=&#34;muundo-wa-vms-mbili&#34;&gt;Muundo wa VMs mbili&lt;/h3&gt;
&lt;p&gt;Kanuni kuu ya Whonix ni &lt;strong&gt;utengano mkali kati ya tabaka la mtandao na tabaka la programu&lt;/strong&gt;, uliotekelezwa kupitia mashine mbili tofauti za kawaida:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Gateway&lt;/strong&gt; ni VM ya kwanza. Inafanya daemon ya Tor na hutumika peke yake kama lango la mtandao. Ndiyo VM pekee yenye ufikiaji wa Mtandao. Haijumuishi programu yoyote ya mtumiaji. Jukumu lake la pekee ni kukamata trafiki yote ya mtandao inayoingia na kutoka na kuisukuma kupitia Tor.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Workstation&lt;/strong&gt; ni VM ya pili. Ndiyo mazingira ya kazi: kivinjari, ujumbe, usindikaji wa faili, uundaji wa programu. Imeunganishwa na Mtandao tu kupitia mtandao wa kawaida wa ndani unaoelekea Whonix-Gateway. Haina ufikiaji wowote wa moja kwa moja wa Mtandao, uwezo wowote wa muunganisho ambao ungedhibiti Gateway.&lt;/p&gt;
&lt;p&gt;Hapa kuna kinachotokea wakati wa ombi la mtandao kutoka kwa Workstation:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Programu hutoa ombi la mtandao&lt;/li&gt;
&lt;li&gt;Workstation huipeleka kupitia kiolesura chake cha mtandao wa ndani kwenda Gateway&lt;/li&gt;
&lt;li&gt;Gateway hukamata ombi na kulielekezea tena kupitia Tor (vituo vitatu vinavyofuatana)&lt;/li&gt;
&lt;li&gt;Jibu linarudi kwa njia ile ile kwa mwelekeo tofauti&lt;/li&gt;
&lt;li&gt;Workstation hupokea jibu bila kujua anwani ya kweli ya IP ya kutoka&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;strong&gt;Dhamana ya msingi&lt;/strong&gt;: hata kama programu hasidi inaathiri Workstation yenye haki za root, haiwezi kujua anwani ya kweli ya IP ya mtumiaji, kwani Workstation yenyewe haijui. Workstation inaona tu anwani ya ndani ya IP ya Gateway.&lt;/p&gt;
&lt;h3 id=&#34;mifumo-ya-ziada-ya-usalama&#34;&gt;Mifumo ya ziada ya usalama&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Stream isolation&lt;/strong&gt;: Whonix hutumia mizunguko tofauti ya Tor kwa programu tofauti (kivinjari hakitumii mzunguko ule ule na mteja wa barua pepe, n.k.), ambayo huzuia ulinganifu wa trafiki kati ya shughuli tofauti.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Boot clock randomization&lt;/strong&gt;: saa ya mfumo ya Workstation hutofautiana kidogo kwa nasibu kila wakati wa kuanzisha ili kuzuia mashambulizi ya wakati kulingana na wakati halisi wa mfumo.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;sdwdate&lt;/strong&gt;: Whonix hutumia daemon yake yenyewe ya usawazishaji wa wakati (sdwdate) ambayo hupata wakati kupitia Tor kutoka kwa seva za onion, badala ya NTP ya kawaida ambayo ingeweza kumwagika kwa anwani ya IP.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;AppArmor&lt;/strong&gt;: profili za AppArmor zinaimarisha sandboxing ya programu muhimu kama Tor Browser katika kiwango cha mfumo.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;VMs zinazoweza kutupwa&lt;/strong&gt;: Whonix inasaidia Workstations zinazoweza kutupwa (&lt;em&gt;Whonix-Workstation DispVM&lt;/em&gt; katika Qubes-Whonix) kwa kazi za mara moja bila uthabiti, sawa na njia ya Tails lakini katika mazingira ya kudumu kwa muda mwingine.&lt;/p&gt;
&lt;h3 id=&#34;njia-tatu-za-usanidi&#34;&gt;Njia tatu za usanidi&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Whonix kwenye VirtualBox au KVM (Aina ya 2)&lt;/strong&gt;: njia inayoweza kufikika zaidi. VMs mbili zinafanya kazi kwenye OS ya mwenyeji iliyopo (Windows, Linux, macOS). Rahisi, lakini inaanzisha tabaka la ziada la imani katika OS ya mwenyeji: ikiwa mwenyeji ameathiriwa, ulinzi wa Whonix unaweza kupita kiasi.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes-Whonix (Aina ya 1, inayopendekezwa)&lt;/strong&gt;: Whonix imejumuishwa kwa asili ndani ya Qubes OS kama templates. Gateway inakuwa ProxyVM (sys-whonix) na Workstation AppQube (anon-whonix). Hii ndiyo usanidi imara zaidi kwani kutengwa kunategemea hypervisor ya Xen ya bare-metal badala ya hypervisor ya aina ya 2 inayofanya kazi kwenye OS ya mwenyeji inayoweza kuwa na udhaifu. Hii ndiyo mchanganyiko unaoshauriwa na miradi miwili.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Kutengwa kimwili (hali ya hali ya juu)&lt;/strong&gt;: Gateway na Workstation zinafanya kazi kwenye mashine mbili tofauti za kimwili, zimeunganishwa na kebo ya Ethernet. Workstation haina kadi yoyote ya mtandao isipokuwa ile iliyounganishwa na Gateway. Hali hii inapunguza sana msingi wa imani lakini inahitaji mashine mbili zilizotolewa.&lt;/p&gt;
&lt;h3 id=&#34;whonix-inalinda-dhidi-ya-nini-na-hakilindi-dhidi-ya-nini&#34;&gt;Whonix inalinda dhidi ya nini na hakilindi dhidi ya nini&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Tishio&lt;/th&gt;
					&lt;th&gt;Ulinzi wa Whonix&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Kumwagika kwa anwani ya IP kutoka kwa Workstation&lt;/td&gt;
					&lt;td&gt;Haiwezekani kwa kimuundo kwa muundo&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;DNS leaks&lt;/td&gt;
					&lt;td&gt;Haiwezekani: DNS yote hupita kupitia Tor kupitia Gateway&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Programu hasidi ya root kwenye Workstation inayotafuta IP halisi&lt;/td&gt;
					&lt;td&gt;Hakuna: haitaipata&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Udhaifu wa Gateway yenyewe&lt;/td&gt;
					&lt;td&gt;Sehemu: ikiwa Gateway imeathiriwa, IP inaweza kumwagika&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Udhaifu wa OS ya mwenyeji (katika hali ya Aina ya 2)&lt;/td&gt;
					&lt;td&gt;Hakuna: mwenyeji aliyeathiriwa anaweza kuchunguza VMs zote mbili&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Kutokujulikana kwa tabia ya mtumiaji&lt;/td&gt;
					&lt;td&gt;Hakuna: Whonix hakilindi dhidi ya makosa ya kibinadamu&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Uchunguzi wa kidijitali wa diski baada ya kukamata&lt;/td&gt;
					&lt;td&gt;Sehemu: Whonix inadumu kwa chaguo-msingi, isipokuwa VMs zinazoweza kutupwa&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;mipaka-ya-uaminifu-1&#34;&gt;Mipaka ya uaminifu&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Whonix haiondoi alama kwenye diski: inadumu kwa chaguo-msingi (tofauti na Tails). Ikiwa mashine yako inakamatiwa na usimbaji wa diski ya mwenyeji hauko au ni dhaifu, data za VMs zinaweza kupatikana&lt;/li&gt;
&lt;li&gt;Katika hali ya Aina ya 2 (VirtualBox/KVM kwenye OS ya mwenyeji), usalama wa Whonix unazuiliwa na usalama wa OS ya mwenyeji. Mwenyeji aliyeathiriwa anaweza uwezekano kuchunguza trafiki kati ya VMs mbili&lt;/li&gt;
&lt;li&gt;Utendaji unaathiriwa na ukawaida wa pande mbili na uelekeo kupitia Tor: miunganisho ni polepole, upakuaji mkubwa ni mgumu kila siku&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;kwa-nani-1&#34;&gt;Kwa nani?&lt;/h3&gt;
&lt;p&gt;Mtu yeyote anayehitaji mazingira ya kazi ya kudumu yenye kutokujulikana kwa kimuundo kwa mtandao: uundaji wa programu nyeti, utafiti kwa jina bandia lililoendelea, usimamizi wa utambulisho kadhaa tofauti wa kidijitali, seva za onion. Mchanganyiko wa Qubes-Whonix unachukuliwa na wataalamu wengi wa usalama kama mazingira ya kazi ya kutokujulikana yaliyo imara zaidi yaliyopo sasa hivi kwa matumizi ya kila siku.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Uamuzi:&lt;/strong&gt; OS ya kumbukumbu kwa kutokujulikana kwa kimuundo kwa mtandao katika mazingira ya kudumu. Inakamilisha Tails (ambayo hushughulikia vikao vya mara moja), si mshindani.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;qubes-os&#34;&gt;Qubes OS&lt;/h2&gt;
&lt;h3 id=&#34;falsafa-usalama-kwa-aina&#34;&gt;Falsafa: usalama kwa aina&lt;/h3&gt;
&lt;p&gt;Qubes OS inawakilisha mbinu ya kimsingi tofauti na mifumo yote iliyotangulia. Ambapo mifumo mingine inajaribu kuzuia uathiriaji, Qubes inaanza na dhana tofauti kabisa: &lt;strong&gt;uathiriaji wa vipengele fulani hauwezi kuepukika. Lengo ni kuhakikisha kwamba hauwezi kuenea.&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Iliundwa mwaka 2012 na mtafiti wa usalama Joanna Rutkowska, Qubes OS inapendekezwa hadharani na Edward Snowden, miongoni mwa wataalamu wengine wa usalama.&lt;/p&gt;
&lt;h3 id=&#34;muundo-wa-kiufundi-1&#34;&gt;Muundo wa kiufundi&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Hypervisor ya Xen kama tabaka la msingi&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Qubes si usambazaji wa Linux kwa maana ya kawaida. Inatumia &lt;strong&gt;hypervisor ya Xen&lt;/strong&gt;, programu ya ukawaida wa bare-metal inayofanya kazi moja kwa moja kwenye vifaa, bila OS ya mwenyeji ya kati, ili kuunda mashine za kawaida nyepesi zinazoitwa &lt;strong&gt;qubes&lt;/strong&gt;. Kutengwa kati ya qubes kunatekelezwa katika kiwango cha vifaa, kupitia teknolojia za &lt;strong&gt;Intel VT-x/VT-d&lt;/strong&gt; na &lt;strong&gt;AMD-Vi (IOMMU)&lt;/strong&gt;, ambazo huzuia VMs kufikia kumbukumbu au vifaa vya VMs nyingine bila ruhusa ya wazi.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;dom0: uwanja wa imani ya juu zaidi&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Kilele cha daraja ni &lt;strong&gt;dom0&lt;/strong&gt;, uwanja wenye mamlaka ambao msimamizi wa eneo la kazi unaendesha kutoka humo. dom0 husimamia onyesho la madirisha yote ya qubes nyingine. Kwa usalama, dom0 &lt;strong&gt;haina muunganisho wowote wa mtandao&lt;/strong&gt; na haiendeshi programu yoyote ya mtumiaji. Inatumika tu kupanga onyesho na usimamizi wa uwanja.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes: vyumba vilivyofungwa&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Mtumiaji hufafanua qubes nyingi kadri inavyohitajika, kila moja ikilingana na muktadha wa imani:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Qube ya &lt;strong&gt;&amp;ldquo;kazi&amp;rdquo;&lt;/strong&gt; kwa programu za kitaaluma&lt;/li&gt;
&lt;li&gt;Qube ya &lt;strong&gt;&amp;ldquo;kibinafsi&amp;rdquo;&lt;/strong&gt; kwa barua pepe na mitandao ya kijamii&lt;/li&gt;
&lt;li&gt;Qube ya &lt;strong&gt;&amp;ldquo;benki&amp;rdquo;&lt;/strong&gt; iliyotolewa peke yake kwa miamala ya fedha&lt;/li&gt;
&lt;li&gt;Qube ya &lt;strong&gt;&amp;ldquo;isiyoaminika&amp;rdquo;&lt;/strong&gt; kwa k&lt;/li&gt;
&lt;/ul&gt;
</description>
    </item>
  </channel>
</rss>