Hallo zusammen!
Ich hätte da mal eine Frage an euch. I überlege, mir einen neuen, kompakten PC zu kaufen, da meiner schon langsam im fortgeschrittenen Alter ist (so wie ich) und ich gerne mal Qubes OS ausprobieren würde. Ich habe mich im Web umgesehen und der PC, der meinen Vorstellungen am nächsten kommt, ist der NitroPC 2 von Nitrokey. Allerdings ist er von den Jungs (und Mädels?) vom Qubes-Projet nicht zertifiziert, und auf Anfrage teilte mir jemand von Nitrokey mit, daß das “unglücklicher Weise” auch nicht geplant sei. Nun habe ich gewisse Bedenken, ob das im wirklichen Leben auch so reibungslos funktioniert wie auf der Seite von Nitrokey versprochen. Der NitroPC 2 kann auf Wunsch mit vorinstalliertem Qubes OS 4.2 geliefert werden, aber man macht ja im Laufe seines Lebens so manche nicht so dolle Erfahrungen mit Versprechungen der Hersteller bzw. Händler.
Deshalb meine Frage an euch: Wer hat schon Erfahrungen mit dem NitroPC 2 mit Qubes OS gemacht und ist bereit, hier darüber zu berichten?
Alternativen zum NitroPC sind eher rar und zum Teil nicht lieferbar (Librem Mini v2 von Purism) oder möglicherweise nicht geeignet für Qubes OS wie z.B. der Libreboot 3050 Micro.
Für eine Auskunft wäre ich sehr dankbar und wünsche euch allen noch ein schönes Wochenende!
Qubes ausprobieren kannst du auf einer Vielzahl von Geräten, solange die CPU nicht völlig veraltet ist und 16 GB RAM vorhanden sind (unter Schmerzen geht Qubes auch mit 8 GB, ist aber nicht empfehlenswert). Eine Zertifizierung ist für den Betrieb von Qubes nicht notwendig. Wenn du einen Rechner zum Ausprobieren hast, würde ich dir eine Testphase auch dringend nahelegen, bevor du in neue Hardware investierst, denn Qubes hat bekannermaßen eine sehr steile Lernkurve und ist definitiv nicht für jede(n) geeignet.
Generell solltest du zu Qubes bzw. zertifizierter Hardware noch wissen, dass jedes 200€-Chromebook bessere Bootsicherheit, Updateversorgung und Usability hat als Qubes, und dass die ganzen Premiumfeatures von Anbietern wie Nitrokey ziemliche Bastellösungen sind und von so manchen Experten als “Security Theater” bezeichnet werden. Ein mir persönlich bekannter Nitrokey-Mitarbeiter hat mal unter der Hand erwähnt, dass die meisten Kunden nach ein paar Kernel-Updates Measured Boot mit HEADS nicht mehr nutzen, da die Usability so grottig ist.
Hallo Sayonaraa! Vielen Dank für die schnelle Antwort! Ja, so was in der Art hatte ich schon vermutet. Daß Qubes nichts für Anfänger ist und eine steile Lernkurve erfordert, wusste ich schon und rechne auch nicht damit, das auf die Schnelle hinzubekommen. Ich sehe es eher als Herausforderung.
Ich schrieb ja in meiner Anfrage, daß mein PC so langsam alt und veraltet ist und wer weiß, wie lange man noch einigermaßen anständige Hardware bekommt, deshalb würde ich mir schon mal einen neuen Mini-PC zulegen. Für den täglichen Genrauch habe ich ja immer noch den alten, der läuft unter Linux Mint eigentlich einwandfrei.
Notebooks mag ich nicht so, ich habe gern einen ausreichend großen Monitor auf meinem Schreibtisch stehen und brauche unterwegs auch keinen Rechner, deshalb würde ich mir wieder einen Mini-PC zulegen, die sind ja heutzutage erstaunlich leistungsfähig. Was mir beim NitroPC gefällt, ich kann ihn ohne WiFi und ohne Bluetooth-Modul ordern, das will und brauche ich auch nicht. Und daß der Ruf von Nitrokey auch nicht gerade der beste, habe ich so zumindest im Web gefunden. Aber das mit der deaktivierten Intel ME hört sich gut an, ich hatte vor längerer Zeit mal den Vortrag von Joanna Rutkowska über “Towards (reasonably) trustworthy x86 laptops” angesehen/gehört, ich könnte mir aber vorstellen, daß das nicht mehr aktuell ist, da Intel und Konsorten vermutlich Gegenmaßnahmen ergriffen haben, um jeden Nutzer überwachen zu können. Das ist natürlich nur eine Vermutung.
Deshalb wäre es vielleicht sinnvoller, mir einen Intel NUC oder etwas vergleichbares zuzulegen, obwohl es die bestimmt nicht ohne WLAN und Bluetooth geben wird. Nunja, ihr seht schon, ich habe eigentlich nur belanglose Luxusprobleme, ich mache mir halt so meine Gedanken.
Trotzdem vielen Dank für den guten Rat, ich werde mir noch Zeit lassen mit der Entscheidung, einen neuen PC zu kaufen. Schau mer mal dann sehn mer scho.
@Obroni Ich nutze QubesOS seit bald 2 Jahren. Angefangen auf einem Lenovo T470 mit 8GB RAM - inzwischen auf einem T490s (16GB).
Warum?
Ich hätte den HW-Sicherheitsaspekt (100% vertrauenswürdige HW) zuerst aussen vor gelassen und mit auch das System eingelassen - es soll gut laufen udn guten Support haben. Dies ist immer der Fall bei Lenovo Thinkbooks.
Man muss sich bei Qubes auch überlegen und durch Try & Error herausfinden - wie man es überhaupt nutzen will. Wie teilt man sich die Maschinen auf? Welche haben Internet - wie mache ich Backups (integriert oder extern?). und vieles Mehr.
Dann kriegt man ein Gespür für Aufwände und Möglichkeiten.
Ich habe dann verstanden was für mich wichtig ist und wo ich weniger zufrieden bin. Dann kann man sich überlegen welche HW man für den Fall benötigt.
Ich z.B. nutze selbes Notebook für Windows 11 - es läuft dann auf einer externen NVME FEstplatte die wiederum an einem Lenovo Thunderbolt Dock angeschlossen ist. Startet und läuft als ob es intern wäre. Zusätzlich nutze ich gelegentlich Tails OS um den Umbang damit auch zu gewöhnen.
Da ich Qubes OS so nutze - dass ich meine Haupt-DAtenplatte auch extern habe (NVME über Thunderbolt) - ich der PC wirklich nur ein Tool in erster Linie.
Die externe Festplatte kann ich auch über Tails starten und nutzen. Das ist in etwa mein Konzept.
Zudem - bevor man sich nen Nitro PC kauft - sollte man auch überlegen ob man ein Gesamtkonzept hat mit dem Smartphone, Banking, Datensicherung usw. Wie werden in diesem Verbund die anderen Geräte verwendet? Ich halte diese z.B. völlig getrennt - bis auf einen synchronisierten Ordner (Hintergrund, wenn ein System “gehackt” wird - werden andere noch “relativ” sicher sein).
usw.
Ich gehe immer davon aus dass keine HW wriklich sicher ist - da der Mensch der Fehlerfaktor ist. Daher halte ich meine AppVM in QubesOS - die Zugriff auf die Datenfestplatte hat - komplett offline (kein Internet-Zugang). Ist etwas aufwändiger im tächlichen Leben - aber ich habe mir da ein Konzept erstellt was sehr gut läuft. Und darum geht es: Finde heraus wie Du es für DICH passend nutzen willst - dann wähle die passende (teure) HW aus. Ich habe verschiedene Ansätze im ersten Nutzungs-Jahr von Qubes probiert - und nun ne gute Lösung gefunden (kann per PM mehr mitteilen).
Kurz: wäre gut zuerst das System kennenlernen - sein Nutzungsverhalten festlegen - Schwächen durch passende HW zusätzlich absichern. Das reicht den meisten.
Hallo Stuebli! Vielen Dank, daß du mir deine Erfahrungen mitgeteilt hast! Ich benutze zur Zeit ein Mini-PC, wie schon beschrieben ein schon in die Jahre gekommenen Barebone namens ASRock Industrial 4X4 BOX-R1000M. Ich bin eigentlich soweit zufrieden, allerdings ist der Lüfter schon ziemlich laut und ich vermute, daß die meisten Mini-PCs dieses Problem haben. Für mich kann der PC deshalb auch etwas größer sein, wenn der Lüfter dafür nicht so störend laut ist. Ich habe bei weiterer Recherche einen lüftelosen Barebone gefunden, der bestimmt genügend Rechenleistung für meine Anwendungen hat, sei es Qubes OS oder Videobearbeitung, das Ding heißt Shuttle XPC slim DS50U5, allerdings mit Intel ME, was aber vermutlich keinen Unterschied macht, da ich mir ganz sicher bin, gegen irgendwelche Geheimdienste, sei es aus den USA, China oder der Russischen Föderation etc. sowieso keine Chance zu haben. Wenn die mich hacken wollen, dann machen die das auch ohne Probleme. Anders sieht es vermutlich bei nichtstaatlichen Kriminellen aus, gegen die könnte das Inaktivieren der Intel ME und die Verwendung von Qubes OS vermulich schon helfen. Nur so meine Gedanken….
Könnte allerdings zum Problem werden, wenn sich Passkeys flächendeckend durchsetzen. Wobei die Smartphone-QR-Code-Bluetooth-Methode eher ein Fallback ist als etwas für den Produktiveinsatz. Bei einer alten Win-10-Gurke, die ich gerade auszumustern versuche, wird dieser Fallback allerdings schmerzlich vermisst. Hat aber nichts mit BT zu tun, also ein bisschen OT.
Meine Rede ist nur: für alle Fälle lieber mehr Konnektivität als weniger. Kann man ja deaktiviert lassen, falls nicht gebraucht.
Das hängt vom Speicherort des Passkeys ab. Ist der zum Beispiel im Secure Element eines Smartphones abgelegt und soll etwa auf einem Desktop-Firefox verwendet werden, kann für die Smartphone-Kamera ein QR-Code angezeigt werden. Ob Challenge und Response funktioniert haben, wird dann über Bluetooth abgeglichen.