Abo
  • Services:
Anzeige
David Mirza Ahmad ist Chefentwickler von Subgraph OS.
David Mirza Ahmad ist Chefentwickler von Subgraph OS. (Bild: Hauke Gierow/Golem.de)

Subgraph und Qubes vereint?

Auf den ersten Blick könnten Qubes und Subgraph als Konkurrenten betrachtet werden - die beide mit Sandboxing die Sicherheit erhöhen sollen. Doch tatsächlich unterscheiden sich die Verfahren enorm. Qubes setzt auf eine vollständige Virtualisierung der einzelnen Einheiten des Betriebssystems, während Subgraph die einzelnen Programme gegeneinander abgrenzt. Qubes benötigt aus diesem Grund auch deutlich leistungsfähigere und speziellere Hardware als Subgraph.

Anzeige

Im Qubes-Universum ist die Sicherheit des einzelnen Qubes nicht das primäre Sicherheitskonzept, wie die Entwicklerin Joana Rutkowska sagt. Weil in dem einzelnen Qube nur sehr begrenzte Anwendungen stattfinden, sei die Gefahr eines erfolgreichen Exploits begrenzt. Wird aber zum Beispiel der Qube für den E-Mail-Verkehr kompromittiert, können Angreifer trotzdem zahlreiche vertrauliche Informationen auf einmal abgreifen.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)

Rutkowska und das Subgraph-Team würden daher in Zukunft gerne zusammenarbeiten. Ein Subgraph-Qube werde auch von zahlreichen Nutzern gefordert, sagt das Team. "Fast jeden Tag haben wir in unserem Chat eine Anfrage, ob wir Subgraph mit Qubes kompatibel machen können", sagt Entwickler Xmurph im Gespräch mit Golem.de.

Derzeit ginge das aber noch nicht. Denn die grsecurity-Kernel-Patches sind derzeit nicht mit dem von Qubes verwendeten Xen-Hypervisor kompatibel. Doch grsecurity ist elementarer Bestandteil des Subgraph-Sicherheitskonzeptes, auf den das Team nicht verzichten will. "Sollte sich das ändern oder sollten wir eine Möglichkeit zur Umsetzung entdecken, werden wir Qubes aber möglichst schnell unterstützen", sagt Xmurph.

Derzeit unterstützt Qubes zur anonymen Nutzung des Internets Whonix, alternativ könnten Debian oder Fedora in den virtuellen Maschinen installiert werden.

Installation läuft problemlos

Die Installation von Subgraph läuft in unserem Test ohne große Probleme. Zum Ausprobieren haben wir das System in einer virtuellen Maschine installiert. Laut Projektwebseite arbeitet Subgraph deutlich besser mit Virtualbox als mit dem Konkurrenten VMware zusammen. Wir sind dieser Empfehlung gefolgt. Dem Betriebssystem sollten mindestens 2, besser 4 GByte Arbeitsspeicher zugewiesen werden, damit es problemlos läuft. Außerdem wird ein 64-Bit-Prozessor benötigt. UEFI wird von Subgraph derzeit noch nicht unterstützt - bei entsprechenden Systemen müsste also der Legacy-Boot-Modus aktiviert werden, wenn das System vom USB-Stick ausprobiert werden soll. Die Iso-Datei ist rund 1,5 GByte groß. Die komplette VM-Partition belegt auf der Festplatte 8 GByte an Speicher, auf "/" entfallen dabei rund 4,9 GByte. Platzsparend ist Subgraph damit nicht unbedingt.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)

Derzeit verfügt Subgraph noch nicht über eine Zeitsynchronisation. Weicht die Systemzeit um mehr als drei Stunden von der Greenwich-Zeit ab, funktioniert der bootstrap-Mechanismus von Tor noch nicht korrekt. Für die meisten europäischen Nutzer dürfte das kein Problem sein; wer Subgraph außerhalb dieser Zeitzonen ausprobieren möchte, muss nach dem ersten Start als Root mit dem Befehl "date --set="$ZEIT"" einmalig nachhelfen. Wer beim Ausprobieren auf Probleme stößt, sollte diese Hinweise lesen.

Nutzer müssen die Netzwerkfunktionen des Betriebssystems selbst aktivieren. Selbst die verkabelte Netzwerkverbindung ist standardmäßig deaktiviert. Auf den ersten Blick verwirrend, aber durchaus durchdacht ist, dass während der Installation kein Benutzername abgefragt wird. "Viele Nutzer wählen hier kein Pseudonym, der Nutzername könnte also Informationen preisgeben", sagt Ahmad. Deswegen lautet der Standardbenutzername einfach "User". Wer will, kann das aber nachträglich ohne Probleme ändern.

 Subgraph verbindet sich über Tor - nochVerschlüsselung ist nicht optional 

eye home zur Startseite
Atalanttore 05. Mai 2016

Mit den richtigen Suchbegriffen (z.B. "coy messenger linux", also mehr als nur "Coy...

Seitan-Sushi-Fan 27. Mär 2016

Keine Distribution mit OpenSSL ist sicher. Void Linux zeigt ja, dass es mit LibreSSL...

SjeldneJordartar 21. Mär 2016

Konnte das jemand schon testen?

ITLeer 21. Mär 2016

;-)

liberavia 18. Mär 2016

gibt es da irgendwelche sachlichen Gründe warum OZ entwickelt wurde statt auf das...



Anzeige

Stellenmarkt
  1. Bilfinger SE, Mannheim
  2. RA Consulting GmbH, Bruchsal
  3. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. Dataport, Hamburg


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 69,99€ (Vorbesteller-Preisgarantie)
  3. 10,99€

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Mrs. MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sonos Playbase vs. Raumfeld Sounddeck: Wuchtiger Wumms im Wohnzimmer
Sonos Playbase vs. Raumfeld Sounddeck
Wuchtiger Wumms im Wohnzimmer
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino

Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

  1. Re: Wayne

    Muhaha | 15:19

  2. Re: Langsam wird Musk verrückt

    plutoniumsulfat | 15:19

  3. Da hat wohl jemand zu viel I, Robot geguckt :D <kwt>

    plutoniumsulfat | 15:18

  4. Re: Top stabile Server Distro

    ArcherV | 15:14

  5. Re: Pläne nach Peak-Oil?

    ArcherV | 15:13


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel