什么是 Qubes OS
Qubes OS 是重视分离作业环境的 OS。
在匿名性中,不只通信路径重要,在哪个环境中作业也很重要。如果实名作业、匿名作业、文件确认、浏览器阅览、消息、资料编辑混在同一环境中,、通知、文件、剪贴板、登录状态会产生关联。
Qubes OS 具有把作业分成 compartment,也就是分离作业区的思路。
本文整理 Qubes OS 的基础、在匿名活动中的意义和限制。
Qubes OS 的基础
Qubes OS 是重视安全的桌面 OS。
它使用按作业分离的虚拟环境,可以分开处理实名作业、匿名作业、文件确认、网络使用等。
Qubes OS 官方网站可以确认下载、文档和安全模型。
URL : https://www.qubes-os.org/
| 要素 | 含义 | 匿名性中的作用 |
|---|---|---|
| compartment | 按作业分开环境 | 避免实名和匿名混用 |
| App qube | 运行应用的环境 | 按用途分离 |
| Disposable qube | 一次性环境 | 易于确认可疑文件和不可信文件 |
| 网络分离 | 分开通信路径 | 易于与 或 构成组合 |
| policy | 控制环境之间的交互 | 意识到剪贴板和文件移动 |
Qubes OS 不是匿名通信本身的工具。
它是加强环境分离的 OS。
对匿名性有用的理由
匿名性被破坏的许多原因来自环境混用。
用平时浏览器登录匿名账号。把匿名用文件放进实名云端。匿名作业中出现实名通知。用平时环境打开危险文件。
Qubes OS 的分离有助于减少这种混用。
| 要分开的东西 | 理由 | 例 |
|---|---|---|
| 实名作业 | 分开个人账号和通知 | 平时邮件、SNS |
| 匿名作业 | 分离发帖和调查 | 匿名浏览器、专用资料 |
| 文件确认 | 隔离危险资料 | PDF、Office、图片 |
| 通信路径 | 分开 VPN 和 Tor 用环境 | 按路径区分作业 |
| 临时作业 | 结束后丢弃 | 确认不明链接 |
Qubes OS 会从技术上支持 中的“不混用”。
但是,如果自己把分开的环境混起来,效果会变弱。
Qubes OS 不能保护的东西
使用 Qubes OS,也不会自动完成匿名性。
登录实名账号、在发帖正文写个人信息、保留文件元数据、使用相同、现实记录与发帖时间重叠。这些问题仍然存在。
| 残留风险 | 理由 |
|---|---|
| 登录状态 | 服务侧识别账号 |
| 发帖内容 | 本人发出的信息会残留 |
| 文件元数据 | 与环境分离是不同问题 |
| 文体和时间 | 作为行为模式被关联 |
| 运营失误 | 在 qube 之间移动信息就会混入 |
Qubes OS 是分开环境的强力基础。
但是,在哪里打开什么、移动哪些信息、使用哪条通信路径,需要由使用者判断。
与 Tails 和 Whonix 的关系
Tails、Whonix、Qubes OS 不是同一目的的工具。
| 项目 | Tails | Whonix | Qubes OS |
|---|---|---|---|
| 核心思想 | 临时使用,尽量不留痕迹 | Tor 通信和作业环境分离 | compartment 分离 |
| 主要用法 | USB 启动 | 虚拟环境 | 桌面 OS |
| 匿名通信 | 以 Tor 为前提 | 以 Tor 为前提 | 取决于构成 |
| 环境分离 | 通过临时使用分开 | 通过 Gateway/Workstation 分开 | 通过 qube 细分 |
| 适合场景 | 临时作业 | Tor 作业分离 | 长期作业分离 |
这不是哪个最强的问题。
应根据作业性质、所需匿名性、可处理的技术水平、持续性来选择。
使用 Qubes OS 前的确认
Qubes OS 很强,但不是任何人都能立刻适合的工具。
它有硬件要求、学习成本和日常运营复杂性。如果没有理解分离思路就使用,可能会不知道哪个环境中有什么,反而混乱。
| 确认项目 | 理由 |
|---|---|
| 兼容硬件 | 不能运行的终端无法使用 |
| 学习时间 | 需要理解分离机制 |
| qube 设计 | 决定如何分开实名、匿名、文件确认 |
| 文件移动规则 | 避免自己破坏分离 |
| 备份 | 避免丢失必要信息 |
Qubes OS 是把环境分离思想具体化的工具。
比导入本身更重要的,是设计哪些作业在哪个环境中进行。
匿名性中的使用位置
Qubes OS 应被看作减少作业混用的工具,而不是匿名通信本身。
例如,把查看实名邮件的环境、创建匿名发帖的环境、打开收到文件的环境、通过 VPN 或 Tor 的环境分开。
| 环境 | 用途 | 注意点 |
|---|---|---|
| 实名用 | 个人邮件和平时作业 | 不与匿名作业混用 |
| 匿名发帖用 | 发帖文、调查、阅览 | 不登录实名 |
| 文件确认用 | 打开不明 PDF 或 Office | 考虑一次性环境 |
| 通信路径用 | 管理 VPN 或 Tor 路径 | 理解路径意图 |
| 保存用 | 保存必要资料 | 管理访问权和备份 |
这样分开后,当某个环境被入侵,或误触实名账号时,更容易控制影响。
但是,如果在分离环境之间草率移动文件或文章,分离的意义会变弱。即使在 Qubes OS 中,最后也仍然是“把什么移动到哪里”的运营判断很重要。
Qubes OS 可以创建强分离,同时也会带来思考设计的负担。
在匿名性中,复杂构成并不总是安全。重要的是创建自己能够理解并维持的分离。
即使使用 Qubes OS,也基本原则仍是不要把实名信息带入匿名环境。
不只分开环境,也要确认在环境之间移动的文章、图片、文件、剪贴板内容。
分离需要与移动规则一起才会发挥作用。
如果没有决定哪些文件可以移动到哪个环境,就会亲手破坏好不容易建立的分离。
此外,即使导入 Qubes OS,也仍然需要威胁模型。
如果不清楚要从谁那里保护什么,就无法决定要分离什么。想提高日常使用安全性,想分开匿名发帖和实名作业,想隔离危险文件,需要创建的 qube 都会不同。
总结
Qubes OS 是重视分离作业环境的 OS。
在匿名活动中,它有助于分开实名作业、匿名作业、文件确认、通信路径。
但是,Qubes OS 不是保证匿名通信本身的工具。
登录状态、发帖内容、文件元数据、文体、发帖时间、现实世界记录都会残留。
Qubes OS 的意义,是减少匿名性大敌“混用”。要把分离环境如何运营也一起纳入考虑。
相关工具
Tails
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://tails.net/
Whonix
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://www.whonix.org/
Qubes OS
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。