Software::Distributionen
Qubes Air: Entwurf einer verallgemeinerten Qubes-Architektur
Während sich Qubes OS 4.0 nach mehrjähriger Entwicklung der Freigabe nähert, denkt die Qubes-Initiatorin Joanna Rutkowska über die Verteilung von Qubes auf mehrere Systeme nach. »Qubes Air« könnte als Gruppe von virtuellen Maschinen sogar ganz oder teilweise in der Cloud laufen.
Qubes OS ist ein revolutionäres Konzept, das das Ziel hat, die Sicherheit von Desktop-Systemen zu erhöhen, ohne die Benutzbarkeit wesentlich einzuschränken. Dazu benutzt das System den Hypervisor Xen, um virtuelle Maschinen voneinander zu isolieren. Die privilegierte virtuelle Maschine (VM) Dom0, die die Desktopumgebung ausführt und alle anderen VMs steuert, hat beispielsweise keine Netzwerkverbindung und ist daher kaum angreifbar.
Sicherheitskritische Treiber-Stacks, vor allem das Netzwerk und USB, laufen in isolierten VMs (bei USB ist das standardmäßig nicht aktiviert). Anwendungen werden in AppVMs installiert, die je nach Einsatzzweck über eine Netzwerkverbindung verfügen können oder auch nicht. Die VMs können verschiedenen Sicherheitsstufen zugeordnet werden, und ihre Anwendungen werden auf dem Desktop entsprechend in verschiedenen Farben markiert. Zur Kommunikation der Anwendungen über die Grenzen der VMs hinweg existieren verschiedene Werkzeuge, die immer eine manuelle Interaktion erfordern. Dadurch sind automatisierte Angriffe sowie eine Kompromittierung des Systems über eine AppVM hinaus stark erschwert. Zudem ist es einfach, neue AppVMs zu starten, die man nach Gebrauch wieder komplett löschen kann.
Qubes OS 4.0 ist nach mehreren Jahren Entwicklung nur noch kurze Zeit (oder auch mehrere Monate) von der Freigabe entfernt. Eine der wichtigsten Neuerungen in Qubes 4.0 wird die Admin-Schnittstelle sein. Dies ermöglicht laut der Qubes-Initiatorin Joanna Rutkowska weitere Neuerungen, über die sie in ihrem Blog nachdenkt. Nichts von diesen Überlegungen ist allerdings bisher implementiert.
Rutkowska sieht mit Qubes (einschließlich Version 4.0) hauptsächlich zwei Probleme. Das erste ist, dass ein Benutzer geeignete Hardware beschaffen und das System selbst installieren muss. Das zweite ist, dass der Hypervisor der einzelne kritische Punkt ist, an dem die Sicherheit des gesamten Systems hängt. Sicherheitslücken werden immer wieder im Hypervisor gefunden. Doch auch die Hardware weist Sicherheitslücken auf, zuletzt wieder auf drastische Weise an
Meltdown und Spectre zu sehen. Als weiteres Beispiel nennt Rutkowska
Row Hammer. Die CPU-Architektur hält nach Einschätzung von Rutkowska aber noch zahlreiche weitere Lücken bereit.
Die Abhängigkeit von einem spezifischen Hypervisor kann durch eine Diversifizierung verringert werden. Qubes 4.0 separiert die Bindung an Xen bereits vom restlichen Code, so dass künftige Versionen auch auf andere Hypervisoren aufsetzen und darüber hinaus auch andere Technologien zur Isolation verwenden können, beispielsweise Docker und andere Container-Formate.
Rutkowska spekuliert nun, dass man zum einen die Sammlung von virtuellen Maschinen, die Qubes ausmacht, in eine Cloud verlagern und per Remote Desktop darauf zugreifen könnte. Dies würde das Problem der passenden Hardware und Installation lösen. Es würde aber eine Abhängigkeit von einem Cloud-Anbieter schaffen und wäre auch vom Standpunkt der Sicherheit nicht ganz ohne Bedenken.
Deshalb könnte das System auch in mehrere separate »Zonen« zerlegt werden. Jede Zone kann mehrere virtuelle Maschinen (oder Container, da das Konzept von der Technologie unabhängig ist) enthalten. Jede Zone kann auf einer anderen Cloud laufen oder auch auf einem lokalen Rechner. Die Kommunikation zwischen virtuellen Maschinen innerhalb einer Zone kann als sehr schnell angenommen werden, die Kommunikation zwischen Zonen dagegen läuft über Netzwerke und ist entsprechend langsamer. In diesem Modell gibt es pro Zone eine Admin-VM, im Gesamtsystem kann aber nur eine dieser Admin-VMs die Master-Rolle übernehmen (üblicherweise die auf dem lokalen Rechner), die anderen sind der Master-Admin-VM untergeordnet. Ohne weiteres ergibt sich daraus auch die Möglichkeit, Qubes auf mehrere lokale Rechner zu verteilen, beispielsweise einen Laptop und einen oder mehrere Raspberry Pi.
Zahlreiche weitere Details findet man im Artikel von Joanna Rutkowska. Die Implementation von Qubes Air soll offenbar nach der Fertigstellung von Qubes 4.0 begonnen werden. Vieles an dem Konzept und auch der Name können sich im Lauf der Zeit noch ändern.
