Was ist eigentlich mit dem derzeit sichersten OS auf dem Markt?

Irgendwie fehlt mir hier das Thema Qubes OS, bzw. finde keine wirklichen Information hier beim kuketz-blog, warum ist das so? Zu Komplex? Zu weit vom üblichen Anwender weg?
Hat wer schon Erfahrung damit gemacht? Auf welcher Hardware?
Keine große Hardware Auswahl mit aktueller Ware scheint auch ab zu schrecken.
Was mich interessieren würde, wie bekomme ich eine Windows VM da rein? Wird dafür eine Lizenz benötigt?

Das Konzept wie ich das bis jetzt verstanden habe, ist irgendwie genial, man kann für jede Rubrik eine eigene VM aufmachen und weitere erstellen um Dinge zu testen, dabei greift das System auf verschiedene OS zurück, wie debian, fedora, windows oder whonix.

Ich hab auch schon kritische Meinungen gelesen das es nicht unbedingt Anwenderfreundlich ist und man viel in der Konsole machen muss, was mich jetzt nicht so stört, wenn es gute Anleitungen gibt und man nicht alles selbst lösen muss.

Also ich hab tatsächlich ein, zwei Versuche unternommen und sogar auf nicht-unterstützter Hardware zum laufen gebracht.

Allerdings spätestens bei den VMs und dem hinzufügen von Anwendungen war ich dann raus.

Bzgl Windows kann ich von anderen Gehversuchen mit einer VM sagen, dass für den Betrieb keine Lizenz erforderlich ist. Es wird lediglich beim Start mit einem Pop Up darauf hingewiesen. Ein paar nicht relevante Funktionen, wie das customizing dress Aussehens wird halt nicht unterstützt.

Soweit meine Erinnerungen/Erfahrungen. Sollte das mittlerweile besser/leichter sein, bin ich auch gerne für weitere Versuche offen.

1 „Gefällt mir“

So weit ich weiß kann man das tatsächlich ändern, auch in der VM. Dazu musst du Windows zunächst in der VM installieren und dabei der VM den Internetzugang verweigern. Dann kannst du in Windows auch das Aussehen verändern. Sobald du dann den Internetzugang erlaubst wird Windows den Zugang für das Customizing sperren und du kannst das Aussehen anschließend nicht mehr verändern.

Also ich nutze Qubes neben Mint am meisten.
Da ich allerdings Fummelei an Soft- und Hardware hasse, habe ich es mir einfach gemacht und einen Nitro PC mit vorinstalliertem Qubes besorgt.
Paar Sachen wie Librewolf habe ich nachinstalliert. Auch schon ein Versions Update von Fedora durchgeführt.
Ansonsten nutze ich Qubes wie vorinstalliert und bin durchaus begeistert.
Fur Fragen und Unterstützung gibt es auch einen guten deutschen Kanal bei Telegram/Matrix.

Habe mir vor ein paar Jahren ein Librem 13 mit 16 GB RAM und 500 GB SSD gekauft, weil Librem 13 mit seinen Kill Switches + Coreboot mit HW Key (Libremkey = Nitrokey) + Qubes eigentlich die Traumkombi war. Habe gleich Qubes installiert, nur lief der Lüfter ständig und ich fand die Nutzung nicht intuitiv (habe aber wegen des besagten Lüfters auch nicht so viel getestet) und habe dann wieder PureOS installiert. Habe mittlerweile 32 GB RAM installiert, nur noch keine Zeit gehabt Qubes nochmal zu installieren und zu testen ob mehr RAM hilft. Vielleicht wird es 2024 was mit dem Test.

Ich hab es mir vor nicht allzu langer Zeit (mal wieder) angesehen. Ganz warm geworden bin ich damit allerdings nicht. Der Overhead ist nicht zu vernachlässigen, was man dann speziell bei Laptops auch an der Akkulaufzeit merkt.

Das Konzept an sich ist gut, allerdings ist es nicht gerade einsteigerfreundlich, was auch der Grund sein wird, warum Blogs eher selten darüber berichten.

Guten Morgen,
die Frage passt grad ganz gut, denn ich konnte meine Notizen mal aufräumen und zusammenfassen:

Zu Komplex?

Nein, nur fordernd

Zu weit vom üblichen Anwender weg?

„üblicher Anwender“ sehe ich nicht als Zielgruppe hier im Forum bzw. aus welcher Perspektive ist „üblicher Anwender“ gemeint? Bei „Über uns“ steht: „Eine Plattform für Menschen, die sich kritisch mit den Themen IT-Sicherheit und Datenschutz(recht) befassen möchten“.

Hat wer schon Erfahrung damit gemacht? Auf welcher Hardware?

Ja, ich nutze Qubes seit über 16 Monaten. Und ich bin umfänglich zufrieden und genieße regelmäßig die Entscheidung.

Hardware ist ein NitroPC aus → https://shop.nitrokey.com/de_DE/shop/product/nitropc-132 und ich bereue ebenfalls nicht die Entscheidung, den gekauft zu haben. Das läuft nämlich unter dem Aspekt Arbeitsteilung und darüber hinaus konnte ich mir konkret anschauen, wie das Nitrokey-Unternehmen Vertrauen herstellt bei der Frage des Transportes → „Versiegeltes Gehäuse:
Um das Manipulieren Ihres NitroPCs zu erschweren, werden die Gehäuseschrauben individuell versiegelt. Wir senden Ihnen Fotos der Versiegelungen, mit denen Sie erkennen können, ob das Gehäuse während des Transports oder zu einem späteren Zeitpunkt unberechtigt geöffnet wurde.“ Haben sie sehr gut gelöst.

Keine große Hardware Auswahl mit aktueller Ware scheint auch ab zu schrecken.

Nein. Was kommt zu erst bei der Entscheidung? Die Hardware-Auswahl hat Gründe, um das Konzept von Qubes in Gänze umzusetzen. Wenn ich also bestmögliche IT-Sicherheit haben will, ist die Hardware-Auswahl zweitrangig, sondern hat sich den Anforderungen zu unterwerfen und sie zu erfüllen.

Was mich interessieren würde, wie bekomme ich eine Windows VM da rein? Wird dafür eine Lizenz benötigt?

Komische Frage. Das MS-Windows Betriebssystem benötigt eine Lizenz, ja klar.

Ein Qube kann als folgender Type eingerichtet werden:

  • AppVM (User-Home Verzeichnis beständig (persistent) und Root-Verzeichnis flüchtig
  • TemplateVM (Home Verzeichnis als Template, Root-Verzeichnis beständig)
  • StandaloneVM (vollständig beständig)
  • DisposableVM (vollständig flüchtig)

Ein MS-Windows kommt in eine StandaloneVM und wird mit dem virt mod HVM eingebunden.

Das Konzept wie ich das bis jetzt verstanden habe, ist irgendwie genial, man kann für jede Rubrik eine eigene VM aufmachen und weitere erstellen um Dinge zu testen, dabei greift das System auf verschiedene OS zurück, wie debian, fedora, windows oder whonix.

Das ist stark gekürzt. Der ursächliche Arbeitsauftrag für Qubes ist vielmehr, auf einem Gerät das zugrundeliegende Betriebssystem so massiv zu reduzieren, dass die Einbruchsmöglichkeiten dort extrem eingeschränkt sind. So sind auch Grafik und Netzwerk in Qubes organisiert.

Dann gibt es Templates mit einem Betriebssystem (TemplateVM).

Eine Anwendungs-Qube (AppVM) wird dann verknüpft mit einer TemplateVM, einer NetVM, Default DispVM und beim Starten der AppVM wird das Betriebssystem für diese Sitzung geladen sowie wenn noch nicht geschehen die NetVM und daran hängenden VMs gestartet (Kette von Qubes). Nur im User-Home-Verzeichnis können Dateien dauerhaft liegen. Nach Herunterfahren der Qube oder Neustarten verlieren sich alle Veränderungen außerhalb des User-Home-Verzeichnisses.

Und dann werden farbliche Räume geschaffen mit Anwendungs-Qubes, die Vertrauensstufen abbilden und man sollte diese auch so einhalten: „Alle Fenster werden in einer einheitlichen Desktop-Umgebung mit fälschungssicheren farbigen Fensterrändern angezeigt, so dass die verschiedenen Sicherheitsstufen leicht erkennbar sind.“

Das ist ein wesentlicher Anker im Konzept von Qubes neben Virtualisierung und Isolierung.

Die farbliche Gestaltung hilft im Gehirn, die eigene Arbeit mit einem Computer zu organisieren und bestimmte Tätigkeiten diesen farblichen Räumen zuzuordnen. So ist Schwarz-Grau die höchste Vertrauenstufe (dom0 = Betriebssystem, vault für z.B. Keepass) und geht dann über grün zu gelb nach rot. Rot wird ja auch als Warnfarbe überwiegend empfunden, ist hier also der am wenigsten zu vertrauende Raum.

Qubes bietet mir also eine Struktur, meine Tätigkeiten am und mit dem Computer sinnvoll aufzubauen. Auf strukturiertes Arbeiten muss man sich als als „üblicher Anwender“ einlassen, ansonsten braucht man kein Qubes :wink:

Das ist alles sehr schön beschrieben in https://www.qubes-os.org/intro/ und dort auch grafisch dargestellt.

Ich hab auch schon kritische Meinungen gelesen das es nicht unbedingt Anwenderfreundlich ist und man viel in der Konsole machen muss, was mich jetzt nicht so stört, wenn es gute Anleitungen gibt und man nicht alles selbst lösen muss.

Ebenfalls eine komische Sicht: irgendwer hat „kritische Meinungen“ und was bitte ist „anwenderfreundlich“? Rede doch bitte vielmehr von dir und nur von dir, was du willst mit dem Computer vor dir. Dann können wir zusammen hier uns austauschen.

Ich betrachte qubes als sehr anwenderfreundlich. Denn ich bin vom Typ her jemand, der strukturiert arbeitet und entsprechende Umgebungen benötigt. Was für ein Typ bist du?

Höchstmögliche Sicherheit kann nicht von der Stange kommen und 08/15 für alle geht auch nicht. Wenn also jemand höchstmögliche IT-Sicherheit haben will, ist Qube anwenderfreundlich und läuft rund.

Mit der Konsole auf dom0 habe ich bisher nur einmal gearbeitet. Und wenige Male in den Templates, um dort Software nachzuinstallieren, Drucker einzurichten und ähnlichem. Ansonsten habe ich mit der Konsole nichts zu tun. Daher ja der Hinweis zu vor, was willst du machen?

Qubes erfordert eine Einlassung auf das Konzept der farblichen Räume, Virtualisierung und Isolierung. Einlassung bedeutet in „Gruppen“ zu denken und die eigene individuelle Vorgehensweise zu prüfen und zu verstehen, um dann mit Qube die Praxis zu entwickeln. Dafür habe ich geschaut, wie ich meine Tätigkeiten bündeln kann, wo ich welche Daten benötige und welches Schutzniveau wo angemessen ist. Dafür bieten die Entwickler:innen technisch eine sehr durchdachte Installation von Software; und ja, ich kann sogar MS-Windows installieren in einer VM.

Man kann auch die Dateiablage auf diesem Computer vollständig durchführen. Das untergräbt aber eher die Grundidee und man ist besser bedient, wenn dafür eine andere physische Maschine genutzt wird, z.B. NAS. Somit sind auch die Backups der Qubes viel kleiner.

Wie teile ich mir meine Räume auf und wie habe ich mich eingerichtet?

  1. Ich habe die Namen der Qubes zu Beginn mit Sortierbuchstaben versehen, also für die bestehende vault ist das nun AA-vault (grau). Dann habe ich CC-work (blau) und FF-personal (gelb) und HH-untrusted (rot).
  2. Der Farbbereich blau enthält neben CC-Work noch CC-work-backup und beide haben keinen bzw. stark eingeschränkten Internet-Zugriff. In CC-work-backup wird das Qubes-Backup durchgeführt und sind die Logindaten für die NAS fest eingebunden. In CC-work ist u.a. ein Firefox-Profil, welches mit einem gefakten Proxy auf 127.0.0.1:666 arbeitet, also ins leere läuft und bei „Kein Proxy für“ sind etwa 20 Domains hinterlegt sind, denen ich vertraue, z.B. die eigene Nextcloud-Installation (mit der ich gerade diese Text vorbereitend schreibe).
  3. Der Farbbereich gelb hat mehrere Qubes für verschiedene Identitäten. In den Qubes wird mit dem Internet eine Verbindung hergestellt, also z.B. E-Mail und Web. In den Qubes wird mit verschiedenen Firefox-Profilen gearbeitet.
  4. Der Farbbereich Rot wird für Internet (Web) genutzt und enthält gar keine persönlichen Daten von mir. Recherche im Web findet häufig hier zu erst statt, z.B. wenn ich etwas kaufen will und vorher mir den Markt anschaue. In einem Firefox-Profil gibt es eine Fake-Identität, also mit einem seit ein paar Jahren bestehende Mailaccount bei GMX mit falsche Identität, aber etabliert. Andere Firefox-Profile werden regelmäßig weggeschmissen und neu angefangen.
  5. Der Farbereich grün bleibt der sys-firewall vorbehalten und ich habe hier eine sys-vpn extra eingerichtet, wo auch die VPN-Logindaten fest hinterlegt sind.

Arbeiten mit Templates und Betriebssystem

Das bereitgestellte Template mit debian 11 habe ich als erstes geklont! Und nur in geklonten Templates führe ich Änderungen durch, z.B. Installation weiterer Software, Drucker-Einrichtung usw.; damit entkoppele ich die ausgelieferten von meinen individualisierten.

Da Qubes auf Templates basieren, kann ich den Umfang der Software genau steuern, was eine Qube erhält. So gibt es einen Template-Klone mit Python für eine entsprechende Entwicklungsumgebung, einen anderen mit Java. Clone-1 mit meiner üblichen Software dient den meisten Qubes als Grundlage. Clone-2 dient für einen speziellen anderen Arbeitsvorgang.

Der Farbbereich grün nimmt fedora als Betriebssystem. Die anderen basieren auf debian 11, da ich mich damit sehr gut auskenne.

MS-Windows spielt hier für mich keine Rolle. Das läuft auf einem physischen Notebook. Von Qube aus greife ich bei Bedarf per RDP darauf hin zu.

Handling von Daten (Zwischenspeicher / Clipboard)

Der Zwischenspeicher (STRG+C) ist stark reglementiert und reduziert dadurch Datendiebstahl. Um von einer Qube zu einer anderen Qube Text zu kopieren mit STRG+C, muss zusätzlich nochmal SHIFT+STRG+C gedrückt werden. Im anderen Qube muss dann SHIFT+STRG+V gedrückt werden und danach dann STRG+V. Das ist aufwendiger, unterbindet aber im schlechteren Falle eben einen Datenabfluss. Nach Anwendung von SHIFT+STRG+V wird der Text in der Qube im Zwischenspeicher gelagert und aus der globalen Zwischenablage entfernt.

Handling von Daten (Dateien)

Die Dateiablage sollte möglichst auf einer anderen Maschine liegen, da dort dann der „unendliche“ Speicher liegt. Die Qubes können dadurch in ihrer Größe reglementiert werden auf z.B. maximal 10 GB (wenn E-Mail lokal gecachet oder gespeichert wird) oder nur 2 GB. Wenn also z.B. durch Downloads das Limit erreicht wird, muss man halt aufräumen. Ich habe nun auf meiner NAS extra spezielle Freigaben für Qubes der Farbe gelb und rot eingerichtet. Damit steuere ich den Zugriff aus einer Qube zu meiner NAS und grenze das also ein.

Die Qube-Maschine ist nur eine Zwischenstation für die meisten Dateien.

Von der Überlegung höchstmögliche IT-Sicherheit ist ein regelmäßiges Löschverfahren ja ebenfalls notwendig. Etwa einmal im Monat räume ich in den Qubes und in den NAS-Freigaben auf. Ggf. übernehme ich Daten auf der NAS in den blauen Bereich.

Handling von Dateien zwischen Qubes

Qube hat einen Mechanismus entwickelt, womit ich per rechter Maustaste im File-Manager eine Datei von einer Qube zu einer anderen kopieren oder verschieben kann. In der Ziel-Qube wird dann ein Eingangsorder eingerichtet mit dem Namen der Quell-Qube.

Man kann natürlich auch die Qube-Maschine für die Dateiablage nutzen. Ich trenne das aber, da z.B. ein Ausfall der Qube-Maschine ja einen entsprechenden Ersatz benötigt, um dann wieder auf die Dateien zugreifen zu können. Da Qube in Gänze nicht auf jeder Hardware läuft, ist hier ein Engpass. Ein Notfallkonzept sollte man eh in der Tasche haben und das bitte vorher für sich prüfen, wie im Falle X ein Zugriff auf die Daten schnellstmöglich gewährleistet ist.

Fazit

Der Artikel bei heise.de war ein Auslöser für meine Entscheidung: https://www.heise.de/select/ct/2021/17/2116614355458022562 und dort sind auch weitere technische Erläuterungen. Konkret war es dann ein Defekt meines acht Jahre alten Computers, der zum Kauf des NitroPCs führte.

Die Leute von Qube haben und machen sich umfängliche Gedanken, wie das Grundproblem Vertrauen in die vor einen stehende Maschine geschaffen werden kann und lösen das mit Qube. Darüber hinaus machen sie sich auch Gedanken, wie man dem Projekt vertrauen kann. Das läuft bei ihnen unter der Bezeichnung Kanarienvogel seit 2015 und sie beziehen sich hier auf eine Technik aus dem Bergbau: „Wenn die Methangaskonzentration im Bergwerk ein gefährliches Niveau erreicht, stirbt der Kanarienvogel und signalisiert den Bergleuten, dass sie evakuiert werden sollten.“. Sie veröffentlichen also regelmäßig eine Sicherheitsmitteilung, die per Standard aus mehrere Aussagen besteht und somit signalisiert, dass alles in Ordnung ist oder eben vielleicht auch nicht: „Sollten die Kanarienvögel jedoch plötzlich ausbleiben, einer oder mehrere Unterzeichner sich weigern, sie zu unterzeichnen, oder sollten sich die enthaltenen Erklärungen ohne plausible Erklärung erheblich ändern, dann kann dies ein Hinweis darauf sein, dass etwas schief gelaufen ist.“ Siehe https://www.qubes-os.org/security/canary/

Wie immer sollte man bei zentralen Anwendungen sich also in der Sicherheits-Mailingliste eintragen oder den entsprechenden RSS-Feed abonieren, um die Sicherheitsmeldungen wie Canary u.ä. zeitnah mitzubekommen.

Qubes ist eine Entscheidung, die ich definitiv nicht bereue sondern mich glücklicher gemacht hat. Qubes gibt mir wieder mehr Vertrauen in die IT und zeigt praktisch, dass diese Anforderung erfüllbar ist im Bereich Arbeitsplatzcomputer. Daneben steht die Entscheidung für GrapheneOs für Mobile Computer (Telefonie) und die Entscheidung, bei Textverarbeitung auf Markdown zu setzen.

Ich empfehle in meiner Arbeit und Beratungstätigkeit allen „üblichen Anwender:innen“ im Anforderungsbereich „bestmögliche IT-Sicherheit“ das Betriebssystem Qubes.

Qubes ist für mich nicht komplex sondern fordernd :wink:

Am Tagesende hilft das alles: der Einstieg erfordert Zeit, um das Konzept zu verstehen und führt zu einer Planung der eigenen Tätigkeiten. Diese Investition lohnt sich m.E.

Stichworte sind also:

  • Notfallkonzept
  • Isolierung
  • Virtualisierung
  • Schutzniveau
  • Vertrauen
  • Einbruchsstellen
  • Arbeitsorganisation
  • Ordnung
  • Struktur
  • Löschverfahren
  • IT-Sicherheit

Zurücklehnen und genießen, nach getaner Arbeit :slight_smile:

7 „Gefällt mir“

Vielen Dank für diesen Bericht! Habe mich noch nie so unsicher gefühlt wie heute :wink:
Habe nicht im Detail alles auf der Webseite gelesen. Nachdem ich gesehen habe, welche wenigen Maschinen da unterstützt werden habe ich abgebrochen. Worin liegt die sehr eingeschränkte Hardwareauswahl bei dem System begründet?

Man kann sich auch selbst das Leben schwer machen :wink:

Mit der Konsistenz der Entscheidung, höchstmögliche Sicherheit herzustellen mit Qubes OS. Da kann man keine Abstriche machen und wenn, müssen diese sehr genau abgewogen werden.

„Gefühlte Unsicherheit“ im Rahmen der IT-Sicherheit ist sicherlich eine gute Erkenntnis.

Aber: die „sehr eingeschränkte“ Hardwareauswahl meint die zertifizierte Liste in https://www.qubes-os.org/doc/certified-hardware/? Die Erklärung für die kleine Anzahl der Geräte steht da im erster Satz: „Eine Grundvoraussetzung ist, dass alle Qubes-zertifizierten Geräte mit vorinstalliertem Qubes OS zum Kauf angeboten werden müssen“. Im nächsten Absatz stehen auch die weitere technischen Anforderungen, z.B. „Eine weitere wichtige Anforderung ist, dass Qubes-zertifizierte Hardware nur mit Open-Source-Boot-Firmware (auch bekannt als „das BIOS“), wie z.B. coreboot, laufen sollte“. Höchstmögliche Sicherheit lässt sich nur herstellen, wenn die Software offen ist und damit geprüft werden kann. BIOS ist regelmäßig leider bisher proprietär, also verdeckt und geschlossen. Es versteht sich ansonsten von selbst, dass etwas mit Zertifikat eine Anforderungsliste erfüllen muss :wink:

Die Anforderungen der zertifizierten Geräte geht also über die technischen Anforderungen hinaus. In der Hardware Compatibility List sind reichlich Geräte gelistet,z.B. von DELL, Lenovo usw., die funktionieren sollen.

In https://www.qubes-os.org/doc/system-requirements/#important-notes wird nochmals darauf hingewiesen, dass „Qubes auf vielen Systemen installiert werden kann, die die empfohlenen Anforderungen (Intel VT-x mit EPT oder AMD-V mit RVI, Intel VT-d oder AMD-Vi, Intel Integrated graphics processor, TPM) nicht erfüllen. Solche Systeme bieten immer noch erhebliche Sicherheitsverbesserungen gegenüber herkömmlichen Betriebssystemen, da Dinge wie GUI-Isolierung und Kernelschutz keine spezielle Hardware erfordern.“

Dort steht im folgenden Absatz noch das: „Qubes kann auf einem USB-Flash-Laufwerk oder einer externen Festplatte installiert werden, und Tests haben gezeigt, dass dies sehr gut funktioniert. Ein schnelles USB 3.0-Flash-Laufwerk wird hierfür empfohlen. (Zur Erinnerung: Die Kapazität muss mindestens 32 GiB betragen.) Schließen Sie das Flash-Laufwerk einfach an den Computer an, bevor Sie das Qubes-Installationsprogramm von einem separaten Installationsmedium starten, wählen Sie das Flash-Laufwerk als Ziel-Installationsmedium und fahren Sie mit der Installation normal fort. Nachdem Qubes auf dem Flash-Laufwerk installiert wurde, kann es in andere Computer gesteckt werden, um Qubes zu starten. Zusätzlich zu der Bequemlichkeit, eine tragbare Kopie von Qubes zu haben, erlaubt dies den Benutzern, die Hardwarekompatibilität auf mehreren Computern zu testen (z.B. in einem Computerladen), bevor sie sich für einen Computer entscheiden. (Hinweise zum Testen der Hardwarekompatibilität finden Sie unter Erstellen und Einreichen von HCL-Berichten). Denken Sie daran, die Ihrer NetVM und USB-VM zugewiesenen Geräte zu ändern, wenn Sie zwischen verschiedenen Rechnern wechseln.“

In der Hardware Compatibility List https://www.qubes-os.org/hcl/ sind die Spalten ein guter Wegweiser für die zentralen Anforderungen: HVM und IOMMU und SLAT und TPM.

Da mir das mit dem USB-Stick noch nicht bekannt war, werde ich mir das mal anschauen und gucken, ob das auf meinen uralten Thinkpad E130 läuft. So ein Stick wäre dann tatsächlich ein coole Sache zum Testen :slight_smile:

Ergänzung: in https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md sind noch ein paar Hinweisen und Erläuterungen, z.B. bei „Enabling and Verifying VT-d/IOMMU“: „Wenn VT-d (I/O MMU) nicht aktiv ist, versuchen Sie, es zu aktivieren, indem Sie das VT-d-Flag in den BIOS-Einstellungen auswählen. Wenn Ihr Prozessor/BIOS die VT-d-Aktivierung nicht zulässt, sind Sie immer noch viel sicherer als alternative Systeme, aber möglicherweise anfällig für DMA-Angriffe“.

1 „Gefällt mir“

Vielen Dank für die Infos und den wichtigen Hinweis auf die HCL. Habe das gestern zum Anlass genommen meine HW zu katalogisieren und nachzusehen: Das Mainboard meiner vorherigen Workstation wird dort genannt und auch die Grafik ist ähnlich.
Letztlich bleibt aber das Problem, das die Leistung der verfügbaren Systeme für mich als Ersatz für den täglichen Rechner nicht ausreichend ist.
Komplett rund ist die Sache zudem auch nur, wenn das System zertifiziert oder das System mindestens mit Open Source Firmware ausgestattet ist.
Für mein nächstes privates Notebook werde ich meine Auswahl aber nur noch anhand der zertifizierten Systeme vornehmen.

Mit der richtigen Konfiguration bekommt man alles sicher. Selbst Windows 11.

1 „Gefällt mir“

Lass uns an Deinem Grenzenlosen Wissen teilhaben.

Wäre doch gelacht, wenn wir die Crapware nicht auch noch in diesem Post unterbringen können :wink:

Die Anti-Windows Elite hat gesprochen. Hugh.

Ich bin enttäuscht von soviel Ignoranz und werde auch keine weitere Energie hier vergeuden.

gez. ein langjähriger Linux/Mac/Windowsuser

Hahaha.

Was luftleer behaupten und dann mit Unterstellungen rumposen.

Definiere bitte mal „sicher“ und „richtige“ Konfiguration.

Ich habe keine Probleme mit MS-Windows. Ich habe auch reichlich GPO-Pakete im Ordner, vom BSI u.a. und habe sehr große Windows-Welten betreut. Ich kann auch sehr hart GPOs ausrollen, ich kann da auch reichlich weiter Fine-Tuning betreiben. Genauso wie ich ein Xiaomi Mobile stark eingrenzen kann. Geht alles ein wenig besser und sicherer, aber nur mit sehr viel zeitlichen Aufwand und erarbeitete Expertisen, aber ich werde niemals das zu 100% ordentlich sauber kriegen.

Sehr viel einfacher ist ein Qubes und GrapheneOS als Betriebssystem-Basis zu nehmen. Nach der Installation den Netzwerkverkehr analysieren und dann: zurücklehnen. Diese Behauptung kann ich belegen! Und du kannst was von deinen Behauptungen belegen?

Defense readiness condition wird nix wirklich mit Software, die Rendite einfahren muss.

Erstmal danke, für die zahlreichen und Informativen Antworten.

@fbnixgut Du scheinst Qubes als produktiv System zu nutzen auf lizenzierter Hardware, darf ich fragen wie gut man dort gegen die Intel Management Engine geschützt ist, oder ist diese sogar deaktiviert?

Ja, wird als produktives System in Gänze und jeden Tag genutzt.

Die Intel ME ist vom Lieferanten deaktiviert:

Deaktivierte Intel Management Engine

Verwundbare und proprietäre Low-Level-Hardwareteile werden deaktiviert, um die Hardware robuster gegen fortgeschrittene Angriffe zu machen.
Die Intel Management Engine (ME) ist eine Art separater Computer innerhalb aller modernen Intel Prozessoren (CPU). Die ME fungiert als Master-Controller für Ihre CPU und hat weitgehenden Zugriff auf Ihren Computer (Systemspeicher, Bildschirm, Tastatur, Netzwerk). Intel kontrolliert den Code der ME und es wurden bereits schwere Schwachstellen in der ME gefunden, die lokale und entfernte Angriffe ermöglichen. Daher kann ME als Hintertür betrachtet werden und ist im NitroPC deaktiviert.

→ Quelle ist oben schon verlinkt am 04.06.

1 „Gefällt mir“

Qubes OS läuft auf zertifizierten Systemen genau so gut wie auf nicht zertifizierten Systemen. Wenn du Geräte mit vorinstalliertem Qubes OS verkaufen möchtest, hast du die Möglichkeit den „Zertifizierungsprozess“ (https://www.qubes-os.org/doc/certified-hardware/#hardware-certification-process) zu nutzen. Das heißt du kannst z. B. alte X230 kaufen und denen dann nach deren Anforderungen dein „jdevlxPC“ schicken um ein zeritifiziertes Gerät verkaufen zu können. Wenn du aber Endnutzer bist kannst du auch einfach unterstütze Hardware kaufen und fertig machen. Du holst dir z. B. ein X230, baust neuen Arbeitsspeicher und Akku ein, Kamera und Mirkofon raus, mit Heads flashen und fertig ist dein „jdevlxPC“ für 500 € weniger als bei zertifizierten Verkaufsstellen.

1 „Gefällt mir“

Kurzer Nachtrag meinerseits zu meinem Librem 13, das für Qubes zertifiziert ist und das ich deshalb gekauft hatte und meine Gedanken zu eventuell neuer Hardware für 2024. Kurz nach meinem obigen Posting hat sich eines der beiden Scharniere aus dem Gehäuse „gelöst“ :frowning: Nachdem ich den Puri.sm Service kontaktiert hatte und feststellen musste, dass es keine Ersatzteile gibt, im Forum gelesen habe, dass es einigen Usern genauso ergangen ist, habe ich mir Epoxy gekauft, angemischt, und die Trümmer wieder verklebt und es hält anscheinend. Das Halterung des zweite Scharniers muss ich auch noch prophylaktisch ausgießen.

Letztendlich werde ich mir aber früher oder später ein neues Notebook kaufen, weil das Librem 13 keinen RJ45 Port hat, der USB-C Port kein Video übermittelt und Qubes eventuell einen moderneren Prozessor braucht. Was würde ich mir kaufen? Wahrscheinlich wieder ein Librem (diesmal ein L14), denn ich kenne außer diesem und dem Pinebook Pro kein Notebook, das Killswitches hat, die vorhandene Hardware abzuklemmen möchte ich nicht. Leider wird Qubes nicht auf dem Pinebook Pro laufen, weil es ARM basiert ist. Die neuen Notebooks von den Nitro-Machern gefallen mir sehr gut (deaktivierte Intel ME und Secure Boot), nur haben die keine Killswitches.

Wegen der Sache mit dem Scharnier habe ich aber ein mulmiges Gefühl in der Magengegend. Sollte ich den Schritt gehen, dann werde ich an dem Tag, an dem die Garantie abläuft, das Notebook öffnen und die Verankerungen der Scharniere mit Epoxy ausgießen.

1 „Gefällt mir“