Уникальный каталог

Qubes — изоляция всего и вся через гипервизор. Tails — амнезия и следы, которых нет. Whonix — Tor на уровне архитектуры, не патча. Все три решают разные задачи. Выбор зависит от твоей модели угроз, а не от того, что красивее выглядит. 

   Большинство людей, которые «заботятся о приватности», ставят VPN и думают, что всё. Потом удивляются. Сегодня разберём три системы, которые созданы людьми с реальной паранойей — для людей с реальной паранойей. Ни одна из них не стала популярной благодаря красивому интерфейсу. Они популярны потому, что работают. 

Qubes OS

«Безопасность через изоляцию»

Идея

   Qubes исходит из простого допущения: любое программное обеспечение может быть скомпрометировано. Любое. Браузер, почтовый клиент, PDF-читалка — всё. Вопрос не в том, можно ли взломать приложение, а в том, что произойдёт после. Qubes отвечает: ничего критического, потому что каждое приложение живёт в своей виртуальной машине. 

   Под капотом — гипервизор Xen. Ты работаешь не с одной операционной системой, а с набором изолированных доменов: один для работы, один для личного, один для банка, один для «грязных» задач. Если браузер в рабочем домене словил эксплойт — он сидит в своей VM и не достаёт до остального. 

   Гипервизор Xen    Изолированные VM    Диспозируемые qube    Разделение по доменам    Fedora / Debian / Whonix внутри 

RAM минимум16 GB

Рекомендовано32+ GB

Порог входаВысокий

Постоянное хранилищеДа

Что это даёт на практике

   Открываешь подозрительный PDF — в одноразовом qube, который умрёт сразу после закрытия. Разрабатываешь код — в рабочем домене без доступа к личным файлам. Делаешь банковские операции — в отдельной VM, которая не знает о существовании остального. Скомпрометирован один домен — остальные живут. 

   Qubes также умеет запускать Whonix внутри себя как отдельный qube — и тогда ты получаешь изоляцию через гипервизор плюс анонимизацию через Tor одновременно. Это та самая комбинация, которую используют журналисты и исследователи с реально высокими требованиями. 

       Qubes требует совместимого железа — не весь ноутбук с ним дружит. Проверь список совместимости на сайте до покупки. И да, 16 GB RAM — это минимум, на котором работать можно, но некомфортно. 

Tails

«Тебя здесь не было»

Идея

   Tails работает с другой философией. Не «защити данные от взлома», а «не оставляй данных вообще». Амнезирующая система: загружается с флешки в RAM, после выключения ничего не остаётся — ни на флешке, ни на компьютере. Ты пришёл, поработал, ушёл. Компьютер тебя не помнит. 

   Весь трафик по умолчанию идёт через Tor. Предустановлены инструменты: Tor Browser, Thunderbird с Enigmail, KeePassXC, MAT2 для очистки метаданных. Всё что нужно для анонимной работы — уже внутри, настроено и проверено. 

   Live USB    Амнезия по умолчанию    Tor для всего трафика    MAT2 предустановлен    Debian-based 

RAM минимум2 GB

НосительUSB 8+ GB

Порог входаНизкий

Постоянное хранилищеОпционально*

Для чего реально подходит

   Tails — это инструмент для конкретных сессий, а не для постоянной работы. Встреча с источником, публикация чувствительного материала, работа на чужом или публичном компьютере. Загрузился, сделал дело, выключил — компьютер не знает, что ты делал, и ты не оставил следов в системе. 

   Главная сила Tails — в его однозначности. Нет решений по настройке, нет сложного выбора. Система сконфигурирована так, чтобы защищать тебя по умолчанию. Новичок с Tails в базовом сценарии защищён лучше, чем опытный пользователь с кривонастроенным Ubuntu. 

       Про Persistent Storage в Tails — отдельный пост в этой же серии. Коротко: включать можно, но осознанно. Каждый сохранённый байт — это компромисс с моделью амнезии. 

Whonix

«Tor — не опция, а архитектура»

Идея

   Whonix решает конкретную проблему: пользователи неправильно настраивают Tor. Забывают перенаправить трафик, оставляют DNS-утечки, запускают приложения мимо туннеля. Whonix убирает человеческий фактор на уровне архитектуры. 

   Система состоит из двух виртуальных машин. Первая — Whonix-Gateway — это Tor-роутер. Вся её работа — гнать трафик через Tor. Вторая — Whonix-Workstation — рабочая среда. Она физически не может выйти в интернет иначе как через Gateway. Даже если приложение попытается напрямую — заблокировано на уровне сети. DNS-утечки невозможны по конструкции. 

   Dual-VM архитектура    Tor на уровне сети    Нет DNS-утечек    Debian-based    Работает в Qubes 

RAM минимум4 GB

ГипервизорVirtualBox / KVM / Qubes

Порог входаСредний

Постоянное хранилищеДа

Чем отличается от Tor Browser

   Tor Browser защищает только трафик браузера. Whonix защищает весь трафик всей рабочей машины — включая мессенджеры, почту, терминал. Любое приложение, запущенное в Workstation, автоматически работает через Tor. Ты не можешь случайно выйти мимо туннеля — это физически невозможно в данной архитектуре. 

       Whonix не даёт амнезии — данные остаются на диске между сессиями. Это не Tails. Если нужна амнезия — комбинируй с шифрованием диска или используй другой инструмент под эту задачу. 

 
Сравнение в одной таблице

Параметр
Qubes OS
Tails
Whonix
Главная защита
Изоляция через VM
Амнезия
Принудительный Tor
Tor из коробки
Через Whonix qube
Всегда
Всегда
Следы после сессии
Остаются
Нет
Остаются
Требования к железу
Высокие (16+ GB)
Минимальные
Средние
Постоянная работа
Да
Нет
Да
DNS-утечки
Зависит от настройки
Невозможны
Невозможны
Порог входа
Высокий
Низкий
Средний
Лучший сценарий
Постоянная рабочая машина
Разовые сессии
Постоянная анонимность
                                                                                                                                                                                                  

Как выбрать

   Нужна система для ежедневной работы с максимальной изоляцией и у тебя мощное железо — Qubes. Готовься потратить неделю на освоение, но потом не пожалеешь. 

   Нужно работать анонимно в конкретных сессиях, не оставляя следов, и не хочешь сложной настройки — Tails. Загрузился с флешки, поработал, выключил. 

   Нужна постоянная система с гарантированным Tor для всего трафика без риска утечек — Whonix. Особенно хорошо работает внутри Qubes как изолированный домен. 

       Лучшая комбинация для параноика со временем и железом: Qubes + Whonix qube для анонимных задач + отдельный qube для повседневного. Tails на флешке — для выездных операций. Это не избыточность, это эшелонированная оборона. 

Вердикт

Все три системы делают то, для чего созданы, и делают это хорошо. Они неудобны намеренно — потому что удобство и безопасность тянут в разные стороны. Если тебе нужна система, которая «просто работает» и не мешает — ты читаешь не тот пост. Если тебе важно понимать и контролировать что происходит с твоими данными — добро пожаловать. Порог входа у всех трёх оправдан тем, что они дают взамен.