Abo
  • Services:
Anzeige
David Mirza Ahmad ist Chefentwickler von Subgraph OS.
David Mirza Ahmad ist Chefentwickler von Subgraph OS. (Bild: Hauke Gierow/Golem.de)

Subgraph und Qubes vereint?

Auf den ersten Blick könnten Qubes und Subgraph als Konkurrenten betrachtet werden - die beide mit Sandboxing die Sicherheit erhöhen sollen. Doch tatsächlich unterscheiden sich die Verfahren enorm. Qubes setzt auf eine vollständige Virtualisierung der einzelnen Einheiten des Betriebssystems, während Subgraph die einzelnen Programme gegeneinander abgrenzt. Qubes benötigt aus diesem Grund auch deutlich leistungsfähigere und speziellere Hardware als Subgraph.

Anzeige

Im Qubes-Universum ist die Sicherheit des einzelnen Qubes nicht das primäre Sicherheitskonzept, wie die Entwicklerin Joana Rutkowska sagt. Weil in dem einzelnen Qube nur sehr begrenzte Anwendungen stattfinden, sei die Gefahr eines erfolgreichen Exploits begrenzt. Wird aber zum Beispiel der Qube für den E-Mail-Verkehr kompromittiert, können Angreifer trotzdem zahlreiche vertrauliche Informationen auf einmal abgreifen.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)

Rutkowska und das Subgraph-Team würden daher in Zukunft gerne zusammenarbeiten. Ein Subgraph-Qube werde auch von zahlreichen Nutzern gefordert, sagt das Team. "Fast jeden Tag haben wir in unserem Chat eine Anfrage, ob wir Subgraph mit Qubes kompatibel machen können", sagt Entwickler Xmurph im Gespräch mit Golem.de.

Derzeit ginge das aber noch nicht. Denn die grsecurity-Kernel-Patches sind derzeit nicht mit dem von Qubes verwendeten Xen-Hypervisor kompatibel. Doch grsecurity ist elementarer Bestandteil des Subgraph-Sicherheitskonzeptes, auf den das Team nicht verzichten will. "Sollte sich das ändern oder sollten wir eine Möglichkeit zur Umsetzung entdecken, werden wir Qubes aber möglichst schnell unterstützen", sagt Xmurph.

Derzeit unterstützt Qubes zur anonymen Nutzung des Internets Whonix, alternativ könnten Debian oder Fedora in den virtuellen Maschinen installiert werden.

Installation läuft problemlos

Die Installation von Subgraph läuft in unserem Test ohne große Probleme. Zum Ausprobieren haben wir das System in einer virtuellen Maschine installiert. Laut Projektwebseite arbeitet Subgraph deutlich besser mit Virtualbox als mit dem Konkurrenten VMware zusammen. Wir sind dieser Empfehlung gefolgt. Dem Betriebssystem sollten mindestens 2, besser 4 GByte Arbeitsspeicher zugewiesen werden, damit es problemlos läuft. Außerdem wird ein 64-Bit-Prozessor benötigt. UEFI wird von Subgraph derzeit noch nicht unterstützt - bei entsprechenden Systemen müsste also der Legacy-Boot-Modus aktiviert werden, wenn das System vom USB-Stick ausprobiert werden soll. Die Iso-Datei ist rund 1,5 GByte groß. Die komplette VM-Partition belegt auf der Festplatte 8 GByte an Speicher, auf "/" entfallen dabei rund 4,9 GByte. Platzsparend ist Subgraph damit nicht unbedingt.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)

Derzeit verfügt Subgraph noch nicht über eine Zeitsynchronisation. Weicht die Systemzeit um mehr als drei Stunden von der Greenwich-Zeit ab, funktioniert der bootstrap-Mechanismus von Tor noch nicht korrekt. Für die meisten europäischen Nutzer dürfte das kein Problem sein; wer Subgraph außerhalb dieser Zeitzonen ausprobieren möchte, muss nach dem ersten Start als Root mit dem Befehl "date --set="$ZEIT"" einmalig nachhelfen. Wer beim Ausprobieren auf Probleme stößt, sollte diese Hinweise lesen.

Nutzer müssen die Netzwerkfunktionen des Betriebssystems selbst aktivieren. Selbst die verkabelte Netzwerkverbindung ist standardmäßig deaktiviert. Auf den ersten Blick verwirrend, aber durchaus durchdacht ist, dass während der Installation kein Benutzername abgefragt wird. "Viele Nutzer wählen hier kein Pseudonym, der Nutzername könnte also Informationen preisgeben", sagt Ahmad. Deswegen lautet der Standardbenutzername einfach "User". Wer will, kann das aber nachträglich ohne Probleme ändern.

 Subgraph verbindet sich über Tor - nochVerschlüsselung ist nicht optional 

eye home zur Startseite
Atalanttore 05. Mai 2016

Mit den richtigen Suchbegriffen (z.B. "coy messenger linux", also mehr als nur "Coy...

Seitan-Sushi-Fan 27. Mär 2016

Keine Distribution mit OpenSSL ist sicher. Void Linux zeigt ja, dass es mit LibreSSL...

SjeldneJordartar 21. Mär 2016

Konnte das jemand schon testen?

ITLeer 21. Mär 2016

;-)

liberavia 18. Mär 2016

gibt es da irgendwelche sachlichen Gründe warum OZ entwickelt wurde statt auf das...



Anzeige

Stellenmarkt
  1. L'TUR Tourismus AG, Baden-Baden
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. DPD Deutschland GmbH, Aschaffenburg
  4. Bosch Service Solutions Magdeburg GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  2. Pocketbeagle

    Beaglebone passt in die Hosentasche

  3. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  4. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  5. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  6. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  7. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  8. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  9. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  10. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

  1. Re: Apple könnte das iPhone auch pünktlich...

    CopyUndPaste | 08:18

  2. Re: Als Android-Nutzer beneide ich euch

    logged_in | 08:09

  3. Re: Bezeichnung Intel

    marcelpape | 08:09

  4. Re: Es nervt!!!

    Test_The_Rest | 07:58

  5. Re: "Vodafone sieht sich nicht betroffen"

    franzbauer | 07:54


  1. 08:11

  2. 07:21

  3. 18:13

  4. 17:49

  5. 17:39

  6. 17:16

  7. 17:11

  8. 16:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel