Anmerkung Leider kann ich hier kein komplettes Tutorial bereitstellen weil das meinen Zeitrahmen sprengt. Kontaktiert mich in dem Forum per PN. Ich werde euch bei allem helfen. Bei uns wird nichts gegatekeeped. Benutze Qubes schon einige Zeit lang und kann euch gerne mit dem GPU-Passthrough helfen dieser koennte fuer euch nuetzlich sein wenn ihr z.B nebenbei GFX macht. Der Text wurde von mir geschrieben und danach mit KI/AI bearbeitet um die Ansehnlichkeit zu foerdern. Es macht den Text weder schlechter noch weniger Qualitativ. Was ist QubesOS? Stellt euch euren Computer wie ein Haus vor. In einem normalen Betriebssystem sind alle Räume miteinander verbunden – wenn irgendwo ein Feuer ausbricht, breitet es sich aus. Bei Qubes OS sind die Räume durch dicke Betonwände getrennt. Jeder Raum, also jede Anwendung, läuft in ihrer eigenen virtuellen Maschine, einem sogenannten Qube. Und wenn in einem Qube etwas schiefläuft – zum Beispiel ein Virus im Browser – bleibt der Rest des Systems sicher. Das Ganze basiert auf einem sogenannten Hypervisor, genauer gesagt auf Xen, einem Typ-1-Hypervisor. Der sorgt dafür, dass die einzelnen Qubes wirklich voneinander getrennt sind und sich nicht gegenseitig beeinflussen können. Was macht Qubes OS besonders? Erstens: Die Isolation. Du kannst deinen Browser, dein E-Mail-Programm und deine Dokumente jeweils in einem eigenen Qube laufen lassen. Wenn du dir beim Surfen etwas einfängst, bleibt dein E-Mail-Postfach davon unberührt. Zweitens: Disposables. Das sind Wegwerf-Qubes, die du für einmalige Aktionen nutzen kannst – zum Beispiel, um ein verdächtiges PDF zu öffnen. Danach wird der Qube gelöscht, als wäre nichts gewesen. Drittens: Split-GPG und Split-SSH. Das bedeutet, dass deine privaten Schlüssel in einem abgeschotteten Bereich bleiben. Selbst wenn du etwas signierst oder dich irgendwo einloggst, kommt der Schlüssel nie direkt raus. Viertens: Whonix-Integration. Für alle, die anonym im Internet unterwegs sein wollen, bietet Qubes OS die Möglichkeit, mit Whonix zu arbeiten – einem System, das über das Tor-Netzwerk läuft. Wie ist Qubes OS aufgebaut? Es gibt verschiedene Arten von Qubes: dom0: Das ist die Kontrollzentrale. Hier läuft die grafische Oberfläche, aber sie hat keinen Internetzugang – aus Sicherheitsgründen. App Qubes: Hier laufen deine Programme, zum Beispiel Firefox, Thunderbird oder LibreOffice. Service Qubes: Die kümmern sich um USB-Geräte, Netzwerk und Firewall. Template Qubes: Das sind die Basis-Images, aus denen neue Qubes entstehen – zum Beispiel Fedora oder Debian. Disposable Qubes: Temporäre VMs für einmalige Aktionen. Und wie installiert man das? Du lädst dir die ISO-Datei von der offiziellen Website herunter, erstellst einen bootfähigen USB-Stick mit einem Tool wie Rufus oder Balena Etcher, aktivierst im BIOS die Virtualisierungsfunktionen (VT-x und VT-d), bootest vom Stick und folgst dem Installationsassistenten. Danach kannst du deine Qubes einrichten – zum Beispiel „Work“, „Personal“, „Vault“ oder „Disposable“. Ein paar praktische Beispiele: Du schreibst mit deinen Partnern? Telegram, Session, Matrix in seperate Qubes unterteilen. Du öffnest Anhänge aus E-Mails? Auch im Disposable. Du entwickelst Software? Richte dir einen eigenen Dev-Qube ein. Du willst deine Passwörter sicher speichern? Nutze den Vault-Qube – der hat keinen Netzwerkzugang. Du mixxt deine Coins mach das in seperierten Für wen ist Qubes OS geeignet? Ganz ehrlich: Für den Durchschnittsnutzer ist Qubes OS wahrscheinlich zu komplex. Aber wenn du ein richtiger Ficker bist und kein Kleingeldripper dann rate ich dir dich mit dem Umgang vertraut zu machen. Anonymität mit Qubes OS Das Herzstück für Anonymität in Qubes OS ist die Integration von Whonix . Whonix ist ein Betriebssystem, das über das Tor-Netzwerk läuft. Tor verschleiert deine IP-Adresse, indem deine Verbindung über mehrere Server weltweit geleitet wird – wie ein digitaler Tunnel mit vielen Umleitungen. In Qubes OS besteht Whonix aus zwei getrennten Qubes: sys-whonix : Das ist der Gateway, der den gesamten Datenverkehr durch Tor leitet. anon-whonix : Das ist die Arbeitsumgebung, in der du surfst, chattest oder recherchierst – alles geht über sys-whonix raus. Das bedeutet: Selbst wenn jemand versucht, dich zu tracken, sieht er nur die letzte Tor-Station – nicht deine echte IP oder deinen Standort. Aber das ist nur der Anfang. Wenn du wirklich tief in die Anonymität willst, solltest du Folgendes beachten: Keine Verbindung außerhalb von Tor Richte deine Qubes so ein, dass sensible Aufgaben ausschließlich über Whonix laufen. Kein Mix aus normalen und anonymen Verbindungen – das nennt man „identity correlation“ und ist ein Risiko. Trennung von Identitäten Nutze verschiedene Qubes für verschiedene Online-Identitäten. Zum Beispiel einen Qube für deine Frauds, einen anderen für Kommunikation – und nie dieselben Accounts oder Daten in beiden verwenden. Keine persönlichen Daten in anonymen Qubes Klingt logisch, aber ist entscheidend: Keine echten Namen, keine echten Fotos, keine echten Dokumente in einem Qube, der anonym bleiben soll. USB und Hardware-Zugriffe abschotten USB-Geräte können kompromittiert sein. Nutze einen separaten USB-Qube und gib nur gezielt Zugriff. Kamera und Mikrofon sollten deaktiviert oder physisch getrennt sein. Disposables für riskante Aktionen Wenn du z. B. eine Datei aus dem Internet öffnest, mach das in einem Disposable Qube. Danach wird alles gelöscht – keine Spuren, keine Reste. Keine direkte Verbindung zu dom0 dom0 ist die Kontrollinstanz in Qubes OS. Sie sollte niemals mit dem Internet verbunden sein und auch keine Daten von anderen Qubes direkt übernehmen. Metadaten entfernen Wenn du Dateien teilst – z. B. Bilder oder PDFs – entferne vorher alle Metadaten. Das geht mit Tools wie MAT2 oder ExifCleaner, die du in einem isolierten Qube nutzen kannst. Vermeide JavaScript und Browser-Fingerprinting Nutze den Tor Browser im Whonix-Qube und deaktiviere JavaScript, wenn möglich. Fingerprinting ist eine Technik, mit der Websites dich anhand deiner Systemkonfiguration wiedererkennen können. Verhalten zählt genauso wie Technik Auch wenn dein Setup perfekt ist – wenn du dich online wie immer verhältst, wirst du erkannt. Also: neue Schreibweise, neue Zeiten, neue Muster. Networking In Qubes OS hat dom0 , keinen direkten Netzwerkzugang . Das ist eine bewusste Sicherheitsmaßnahme. Stattdessen wird der Netzwerkzugang über spezielle virtuelle Maschinen geregelt: sys-net : Diese Qube hat direkten Zugriff auf die physische Netzwerkkarte (Ethernet, WLAN, etc.). Sie stellt die Verbindung zum Internet her. sys-firewall : Diese Qube sitzt zwischen sys-net und den anderen Qubes. Sie filtert den Datenverkehr und erlaubt eine granulare Kontrolle darüber, welche Qube ins Internet darf und welche nicht. Datenfluss im Netzwerk Der Netzwerkverkehr läuft in Qubes OS folgendermaßen: Die physische Netzwerkkarte ist ausschließlich mit sys-net verbunden. sys-net stellt die Verbindung zum Internet her. Der Datenverkehr wird über sys-firewall geleitet. Erst danach erreicht er die einzelnen App-Qubes, z. B. „ob“, "e-whoring“ oder „anon-whonix“. Dadurch entsteht eine mehrstufige Sicherheitsstruktur, bei der jede Ebene kontrolliert und isoliert ist. Netzwerkgeräte zuweisen Die physische Netzwerkkarte (z. B. WLAN-Adapter) wird über PCI-Passthrough direkt an sys-net gebunden. Das geschieht entweder automatisch bei der Installation oder manuell über den Qube-Manager. Wichtig ist, dass dom0 niemals Zugriff auf diese Geräte hat. Erweiterte Netzwerkkonzepte Qubes OS erlaubt auch komplexere Netzwerkstrukturen: VPNs : Man kann eine eigene Qube als VPN-Gateway einrichten, z. B. „sys-vpn“, die zwischen sys-firewall und den App-Qubes sitzt. Tor-Netzwerk : Über Whonix wird ein spezieller Netzwerkpfad eingerichtet, bei dem der gesamte Datenverkehr durch das Tor-Netzwerk geleitet wird. Dabei übernimmt „sys-whonix“ die Rolle des Tor-Gateways. Air-Gapped Qubes : Qubes ohne Netzwerkzugang – ideal für sensible Daten wie Passwortspeicher oder GPG-Schlüssel. Sicherheit durch Trennung Die Trennung von Netzwerk und Anwendung ist ein zentrales Sicherheitsmerkmal von Qubes OS. Selbst wenn ein Angreifer Zugriff auf eine App-Qube erhält, kann er nicht direkt ins Internet, es sei denn, die sys-firewall erlaubt es. Und selbst dann bleibt dom0 geschützt, da sie keinen Netzwerkzugang hat. Aufbau einer richtigen VPN-Struktur sys-mullvad-1 Standort: Deutschland - Multihop - DAITA - Killswitch sys-mullvad-2 Standort: Schweden - DAITA - Killswitch sys-mullvad-3 Standort: Schweiz - DAITA - Killswitch sys-mullvad-4 Standort: USA - DAITA - Killswitch In Qubes ist das Networking das spannenste und erstaunlich einfach gestaltet. Ihr weist die Qubes der jeweiligen VPN zu und fertig der bereitgestellte Kill-Switch von Mullvad funktioniert 1A auf Qubes.