Qubes OS ist ein Betriebssystem, das die Trennung von Arbeitsumgebungen in den Mittelpunkt stellt.
Bei Anonymität ist nicht nur der Kommunikationsweg wichtig, sondern auch, in welcher Umgebung eine Arbeit stattfindet. Wenn Klarnamenarbeit, anonyme Arbeit, Dateiprüfung, Browsen, Nachrichten und Bearbeitung von Unterlagen in derselben Umgebung vermischt werden, entstehen Korrelationen über s, Benachrichtigungen, Dateien, Zwischenablage und Anmeldestatus.
Qubes OS denkt Arbeit in Compartments, also getrennten Arbeitsbereichen.
Dieser Artikel ordnet Grundlagen von Qubes OS, seine Bedeutung für anonyme Aktivität und seine Grenzen.
Grundlagen von Qubes OS
Qubes OS ist ein sicherheitsorientiertes Desktop-Betriebssystem.
Es nutzt für verschiedene Arbeiten getrennte virtuelle Umgebungen, sodass Klarnamenarbeit, anonyme Arbeit, Dateiprüfung und Netzwerknutzung getrennt behandelt werden können.
Auf der offiziellen Website von Qubes OS lassen sich Downloads, Dokumentation und Sicherheitsmodell prüfen.
Vermischung von Klarnamenarbeit und anonymer Arbeit vermeiden
App qube
Umgebung zum Ausführen von Apps
Nach Zweck trennen
Disposable qube
Wegwerf-Umgebung
Gut geeignet zur Prüfung verdächtiger oder nicht vertrauenswürdiger Dateien
Netzwerktrennung
Kommunikationswege trennen
Leicht mit - oder -Konfigurationen kombinierbar
Policy
Austausch zwischen Umgebungen steuern
Zwischenablage und Dateiverschiebung bewusst behandeln
Qubes OS ist kein Werkzeug für anonyme Kommunikation selbst.
Es ist ein OS, um Umgebungstrennung zu stärken.
Warum es für Anonymität hilfreich ist
Viele Brüche von Anonymität entstehen durch vermischte Umgebungen.
Man meldet sich im Alltagsbrowser bei einem anonymen Konto an. Man legt Dateien für anonyme Nutzung in der Klarnamen-Cloud ab. Während anonymer Arbeit erscheint eine Klarnamenbenachrichtigung. Man öffnet eine riskante Datei in der Alltagsumgebung.
Die Trennung in Qubes OS hilft, solche Vermischung zu reduzieren.
Was getrennt wird
Grund
Beispiel
Klarnamenarbeit
Persönliche Konten und Benachrichtigungen trennen
Gewöhnliche E-Mail, soziale Netzwerke
Anonyme Arbeit
Beiträge und Recherche trennen
Anonymer Browser, eigene Unterlagen
Dateiprüfung
Riskante Unterlagen isolieren
PDF, Office, Bilder
Kommunikationsweg
Umgebungen für VPN oder Tor trennen
Arbeit je nach Route
Temporäre Arbeit
Nach Ende verwerfen
Prüfung unbekannter Links
Qubes OS unterstützt das -Prinzip "nicht vermischen" technisch.
Wenn man getrennte Umgebungen selbst wieder vermischt, wird die Wirkung jedoch schwächer.
Was Qubes OS nicht schützt
Auch mit Qubes OS entsteht Anonymität nicht automatisch.
Wenn man sich bei einem Klarnamenkonto anmeldet, personenbezogene Informationen in den Beitrag schreibt, Dateimetadaten stehen lässt, denselben Schreibstil verwendet oder reale Aufzeichnungen mit Posting-Zeiten zusammenfallen, bleiben diese Probleme bestehen.
Verbleibendes Risiko
Grund
Anmeldestatus
Der Dienst erkennt das Konto
Beitragsinhalt
Informationen, die man selbst ausgibt, bleiben
Dateimetadaten
Ein anderes Problem als Umgebungstrennung
Schreibstil und Zeit
Werden als Verhaltensmuster korreliert
Bedienfehler
Wenn Informationen zwischen qubes verschoben werden, vermischen sie sich
Qubes OS ist eine starke Grundlage zur Trennung von Umgebungen.
Aber die nutzende Person entscheidet, was wo geöffnet wird, welche Informationen verschoben werden und welcher Kommunikationsweg genutzt wird.
Verhältnis zu Tails und Whonix
Tails, Whonix und Qubes OS sind keine Werkzeuge mit demselben Zweck.
Punkt
Tails
Whonix
Qubes OS
Zentraler Gedanke
Temporäre Nutzung, möglichst wenig Spuren
Kommunikation über Tor und Trennung der Arbeitsumgebung
Compartment-Trennung
Hauptnutzung
USB-Start
Virtuelle Umgebung
Desktop-OS
Anonyme Kommunikation
Tor vorausgesetzt
Tor vorausgesetzt
Hängt von der Konfiguration ab
Umgebungstrennung
Durch temporäre Nutzung getrennt
Durch Gateway/Workstation getrennt
Fein nach qubes getrennt
Geeignet für
Temporäre Arbeit
Getrennte Tor-Arbeit
Langfristige Trennung von Arbeit
Es geht nicht darum, welches am stärksten ist.
Man wählt nach Art der Arbeit, nötiger Anonymität, technischem Niveau und Kontinuität.
Prüfung vor der Nutzung von Qubes OS
Qubes OS ist leistungsfähig, aber nicht für alle sofort passend.
Es gibt Hardwareanforderungen, Lernaufwand und Komplexität im Alltag. Wenn man es verwendet, ohne die Idee der Trennung zu verstehen, weiß man am Ende nicht mehr, was in welcher Umgebung liegt, und erzeugt eher Verwirrung.
Prüfpunkt
Grund
Unterstützte Hardware
Auf nicht funktionierenden Geräten ist es nicht nutzbar
Lernzeit
Die Trennungslogik muss verstanden werden
qube-Design
Festlegen, wie Klarnamen, anonym und Dateiprüfung getrennt werden
Regeln für Dateiverschiebung
Die Trennung nicht selbst zerstören
Backup
Notwendige Informationen nicht verlieren
Qubes OS ist ein Werkzeug, das die Idee der Umgebungstrennung konkret macht.
Wichtiger als die Einführung selbst ist der Entwurf, welche Arbeit in welcher Umgebung stattfindet.
Wo Qubes OS bei Anonymität passt
Qubes OS betrachtet man eher als Werkzeug gegen vermischte Arbeit denn als Werkzeug für anonyme Kommunikation selbst.
Zum Beispiel trennt man eine Umgebung für Klarnamen-E-Mail, eine Umgebung zum Erstellen anonymer Beiträge, eine Umgebung zum Öffnen empfangener Dateien und eine Umgebung für Verbindungen über VPN oder Tor.
Umgebung
Zweck
Worauf achten
Klarnamen
Persönliche E-Mail und Alltagsarbeit
Nicht mit anonymer Arbeit vermischen
Anonyme Beiträge
Beitragstext, Recherche, Browsen
Nicht bei Klarnamenkonten anmelden
Dateiprüfung
Unbekannte PDFs oder Office-Dateien öffnen
Wegwerf-Umgebung erwägen
Kommunikationsweg
Routenverwaltung für VPN oder Tor
Zweck der Route verstehen
Speicherung
Notwendige Unterlagen speichern
Zugriffsrechte und Backup verwalten
Eine solche Trennung kann helfen, die Folgen zu begrenzen, wenn eine Umgebung kompromittiert wird oder man versehentlich ein Klarnamenkonto berührt.
Wenn man jedoch Dateien oder Texte unbedacht zwischen getrennten Umgebungen verschiebt, wird der Sinn der Trennung schwächer. Auch bei Qubes OS bleibt am Ende die operative Entscheidung wichtig, was wohin verschoben wird.
Qubes OS kann starke Trennung schaffen, bringt aber auch die Last mit sich, das Design zu durchdenken.
Bei Anonymität ist eine komplexe Konfiguration nicht immer sicherer. Wichtig ist, eine Trennung zu bauen, die man versteht und dauerhaft pflegen kann.
Auch bei Qubes OS bleibt die Grundregel: keine Klarnameninformationen in die anonyme Umgebung bringen.
Man trennt nicht nur Umgebungen, sondern prüft auch Texte, Bilder, Dateien und Inhalte der Zwischenablage, die zwischen Umgebungen bewegt werden.
Trennung funktioniert zusammen mit Regeln für Bewegung.
Wenn nicht festgelegt ist, welche Datei in welche Umgebung verschoben werden darf, zerstört man die mühsam geschaffene Trennung selbst.
Außerdem braucht man auch mit Qubes OS ein Bedrohungsmodell.
Solange unklar ist, vor wem was geschützt werden soll, ist auch unklar, was getrennt werden muss. Ob man die Sicherheit der Alltagsnutzung erhöhen, anonyme Beiträge von Klarnamenarbeit trennen oder riskante Dateien isolieren möchte, verändert, welche qubes erstellt werden sollten.
Zusammenfassung
Qubes OS ist ein Betriebssystem, das die Trennung von Arbeitsumgebungen in den Mittelpunkt stellt.
Bei anonymer Aktivität hilft es, Klarnamenarbeit, anonyme Arbeit, Dateiprüfung und Kommunikationswege zu trennen.
Qubes OS ist jedoch kein Werkzeug, das anonyme Kommunikation selbst garantiert.
Anmeldestatus, Beitragsinhalt, Dateimetadaten, Schreibstil, Posting-Zeit und Aufzeichnungen in der realen Welt bleiben.
Der Sinn von Qubes OS liegt darin, einen großen Gegner der Anonymität zu verringern: Vermischung. Auch der Betrieb der getrennten Umgebungen muss mitgedacht werden.
Verwandte Werkzeuge
Anonymous OS
Tails
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.