Qubes OS verspricht Anonymität, Privatsphäre und sichere Kommunikation. Ihm eilt der Ruf voraus, das derzeit sicherste Betriebssystem der Welt zu sein.

Von Invisible Things Lab entwickelt, setzt Qubes OS [1] auf ein einzigartiges, auf Isolation basierendes Sicherheitskonzept. Nicht umsonst empfiehlt unter anderem der Whistleblower und ehemalige CIA-Mitarbeiter Edward Snowden die Distribution ganz ausdrücklich zur sicheren Kommunikation: “Wenn Sie es mit der Sicherheit ernst meinen, ist Qubes OS das beste derzeit verfügbare Betriebssystem. Ich benutze es, und es ist kostenlos. Niemand beherrscht die VM-Isolierung besser.” Wir stellen das Hochsicherheits-Linux und die Protagonisten hinter diesem einzigartigen Linux-Projekt im Detail vor.

In Bezug auf Anonymität und Wahrung der Privatsphäre ist Qubes OS derzeit vermutlich die sicherste Distribution überhaupt. Hinter dem Projekt steht das Entwicklerteam Invisible Things Lab [2], das die polnische Hackerin und Spezialistin für Computersicherheit Joanna Rutkowska mitbegründet hat. Sie ist vorrangig für ihre Forschungen im Bereich Malware im Allgemeinen und die Installation sowie das Verstecken von Backdoors in Windows Vista im Speziellen bekannt. Zusammen mit ihrem Team veröffentlichte Joanna Rutkowska im April 2011 die erste Beta-Version von Qubes OS.

Als Basis für die Distribution dienen Fedora Workstation und der ressourcensparende Desktop XFCE. Die auf zwei Ebenen bereitgestellte Isolation erreichen die Entwickler mithilfe von Virtualisierung. Edward Snowden, der besonders die Abkapselung hervorhebt, teilte bereits im September 2016 mit, er sei für die vertrauliche Kommunikation zu Qubes OS gewechselt. Zwar gesteht der Whistleblower die Einschränkung ein, dass kein System absolut kugelsicher sei, betont aber, dass Qubes OS diesem Status heute bereits sehr nahekäme.

Zweidimensional isoliert

Die in der zu Redaktionsschluss aktuellen Version 4.2.3 auf dem LTS-Kernel Linux 6.6 aufbauende Distribution und deren Ansatz der zweidimensionalen Isolation basieren im Kern auf dem Prinzip der Security by Compartmentalization. Der sichere Bare-Metal-Hypervisor Xen (Abbildung 1) sowie privilegierte, weniger privilegierte und unprivilegierte virtuelle Maschinen sorgen dabei für die bestmögliche Isolation.

Abbildung 1: Der Xen-Hypervisor fungiert als abstrahierende Schicht zwischen Betriebssystem, Hard- und Software. Quelle: Invisible Things Lab

Mit diesem Ansatz gewährleisten die Entwickler, dass Hardware und Komponenten wie das System, das Speichersubsystem und der gesamte Netzwerk-Stack sowie Programme und andere Komponenten voneinander abgeschirmt in ihren eigenen Sandbox-Umgebungen laufen. Dabei bietet Qubes OS über die Qubes GUI sogar eine Isolation zwischen Anwendungen, die sich denselben Desktop teilen.

Core Stack

Die Kernkomponente von Qubes OS bildet der Qubes Core Stack (Abbildung 2). Das Entwicklerteam hinter der Distribution beschreibt ihn als Kleber, der sämtliche Komponenten der Architektur zusammenhält und miteinander verbindet. Dabei übernimmt der Core Stack unter anderem die folgenden Aufgaben:

• das Einrichten und Anpassen der virtuellen Maschinen,
• das Anpassen der Desktops und grafischen Benutzeroberflächen (GUI),
• die Konfiguration des Xen-Hypervisors und dessen Härtung,
• das Einbinden von Apps und Diensten sowie
• das Auswählen der Vorlagen für VMs (Debian, Whonix, Fedora, Windows und so weiter).

Abbildung 2: Der Qubes Core Stack funktioniert als eine Art Kleber zwischen den einzelnen Bestandteilen der Architektur. Quelle: Invisible Things Lab

Er führt alle relevanten Komponenten von Qubes OS zusammen, darunter den Xen-Hypervisor, die Admin-VM, die GUI-VM, die Template-VM sowie die App-VM. Hinzu kommen die Backends für das System, das Netzwerk (Firewall) sowie externe USB-Geräte.

Virtuelle Maschinen

Hinter den sogenannten Qubes (Abbildung 3) stecken eigene, leichtgewichtige virtuelle Maschinen (VMs) für Anwendungen, sortiert in Kategorien wie Privat, Arbeit und Banking. Die VMs erhalten entsprechend der enthaltenen Apps unterschiedlich hohe Privilegien. Die Anwendungen gleichen aus Benutzersicht solchen, die lokal laufen. Qubes OS unterstützt auch sicheres Kopieren und Einfügen sowie die gemeinsame Nutzung von Dateien zwischen den einzelnen Qubes.

Abbildung 3: Die Qubes, als VMs implementiert, unterscheiden sich hinsichtlich Zweck, Art und Vertrauenswürdigkeit (Level of Trust). Quelle: Invisible Things Lab

Durch die VMs lassen sich Programme wie Webbrowser, E-Mail-Clients oder Texteditoren virtualisiert und voneinander isoliert ausführen. Programm A kann somit nicht auf Programm B zugreifen – das legt Angreifern Steine in den Weg. Sie können nicht von einer Applikation auf eine andere übergehen und sie gegebenenfalls manipulieren. Sollten sie eine der Anwendungen innerhalb eines Qubes kompromittieren, beeinflusst das dementsprechend keineswegs die Integrität des restlichen Systems. Um das Netzwerk und die Firewall vor Attacken von außen zu schützen, befinden sich diese beiden Systemkomponenten ebenso wie der System-Kernel in einer eigenen unprivilegierten VM.

Allerdings gestattet Qubes OS, verschiedene Anwendungen in einer VM zu bündeln. So können beispielsweise der Webbrowser und E-Mail-Client mit höherer Sicherheitsfreigabe in der Arbeits-VM laufen und mit einer niedrigeren Sicherheitsfreigabe in der Shopping-VM bereitstehen.

Fazit

Durch zahlreiche Templates für bekannte Linux-Distributionen wie Fedora, Debian, Whonix (inklusive Tor-Client), Ubuntu, Gentoo sowie Arch Linux und CentOS lassen sich die verschiedensten Distributionen in Qubes OS problemlos und unkompliziert virtualisieren. Dasselbe gilt für Betriebssysteme von Windows 7 bis Windows 11.

Das rund 6,4 GByte große und auf AMD64-Architekturen optimierte Systemabbild von Qubes OS 4.2.3 (ISO) beziehen Sie über die offiziellen Server von Invisible Things Lab. Beim Einstieg hilft der ausführliche offizielle Installation Guide [3] der Entwickler. (csi)