Qubes OS چیست؟ «امنیت از راه جداسازی»

Qubes OS یک سیستم‌عامل امنیت‌محور است که فرض را بر «هک‌شدن دیر یا زود» می‌گذارد و از راه تقسیم‌بندی (Security by Compartmentalization) ریسک را کنترل می‌کند. ایده ساده است: هر فعالیت (مرور وب، ویرایش کد، مدیریت اسناد حساس و …) در یک کویب/ماشین‌مجازی جدا (VM) انجام می‌شود. اگر یکی آلوده شود، بقیه در امان می‌مانند.

هسته معماری: Xen، VMهای جدا و دام‌ها

• Hypervisor: Xen
  Qubes روی هایپروایزر Xen اجرا می‌شود؛ یعنی به‌جای اجرای مستقیم اپ‌ها روی یک لینوکس معمولی، هر اپ درون یک VM جداست.

• dom0 (دام صفر)
  دام مدیریتی بسیار محدود و بدون دسترسی مستقیم به اینترنت. رندر دسکتاپ از اینجا انجام می‌شود و به‌دلایل امنیتی نباید برای کارهای روزمره از آن استفاده کنید.

• TemplateVM / AppVM / Disposable VM (DispVM)

  • TemplateVM: الگوی فقط-خواندنی بسته‌ها.

  • AppVM: محیط کاری روزمره که ریشهٔ فایل‌سیستمش از Template می‌آید و داده‌های کاربر جدا ذخیره می‌شود.

  • DispVM: کویب یک‌بارمصرف؛ با بستن پنجره، VM نابود می‌شود (مثلاً برای بازکردن یک پیوست ناشناس).

• شبکه تفکیک‌شده
  زنجیرهٔ sys-net → sys-firewall → AppVM باعث می‌شود حتی استک شبکه نیز از فضای کار جدا باشد.

تجربه کاربری: هر اپ مثل «یک کامپیوتر جدا»

• وقتی مرورگر را باز می‌کنی، در واقع در یک AppVM اجرا می‌شود؛ ادیتور کد در AppVM دیگری.

• بسته به تنظیمات، می‌توانی با بستن پنجره، VM مربوط به آن اپ را پاک‌سازی کنی (DispVM).

• نتیجه: اگر مرورگر آلوده شود، فقط همان VM ضربه می‌خورد، نه اسناد کاری یا کیف‌پول ارزدیجیتال در کویب‌های دیگر.

تبادل امن بین کویب‌ها

به‌صورت پیش‌فرض هیچ کلیپ‌بورد یا فایل‌سیستمی به‌اشتراک گذاشته نمی‌شود. انتقال کنترل‌شده است:

• کپی/پیست امن: با میانبرهای ویژه (Copy در مبدا → Paste در مقصد) و تأیید کاربر.

• انتقال فایل: با ابزارهای Qubes مثل qvm-copy/qvm-move یا منوی کانتکست، که مسیر عبور فایل را شفاف و محدود می‌کند.

• Qrexec: چارچوب پیام‌رسانی بین-دامی که سیاست‌ها را اعمال می‌کند (کدام VM اجازه دارد چه درخواستی به مقصدی دیگر بفرستد).

پروفایل‌ها و جریان راه‌اندازی

در نصب اولیه، Qubes پرسش‌هایی دربارهٔ کاربری‌ات می‌پرسد تا پروفایل‌های پیش‌فرض بسازد (مثلاً کویب‌های «غیرقابل‌اعتماد»، «کار»، «بانک»، «توسعه»). این فقط نقطهٔ شروع است؛ می‌توانی بعداً هر تعداد کویب با رنگ و سیاست دلخواه اضافه کنی.

چرا Qubes OS امن تلقی می‌شود؟

• اصل کمترین اعتماد: فرض آلودگی و محدودکردن اثر آن.

• تفکیک شدید: اپ‌ها، شبکه و حتی USB در دام‌های جدا اجرا می‌شوند (مانند sys-usb).

• پاکی اثری: استفاده از DispVM باعث می‌شود آثار فعالیت‌های پرخطر بعد از بستن پنجره از بین برود.

• سیاست‌های صریح: همه‌چیز با سیاست و تأیید کاربر عبور می‌کند؛ اشتراک‌گذاری ضمنی وجود ندارد.

بهای امنیت: سخت‌افزار قوی و منحنی یادگیری

• نیازمندی‌ها: پشتیبانی VT-x/AMD-V و ترجیحاً VT-d/IOMMU، RAM بالا (۸–۱۶ گیگ به‌بالا)، SSD سریع؛ درایورهای گرافیک یکپارچه بهتر از کارت‌های مجزا دردسر دارند.

• پیچیدگی: مدیریت Templateها، سیاست‌ها و جریان‌های فایل/کلیپ‌بورد، برای کاربر تازه‌کار زمان‌بر است.

• کارایی: هرچند Xen سبک است، ولی تعدد VMها مصرف حافظه و پردازنده را بالا می‌برد.

برای چه کسانی مناسب است؟

• روزنامه‌نگاران، فعالان حوزه امنیت/حریم خصوصی، پژوهشگران بدافزار، توسعه‌دهندگانی که با سورس‌های ناشناس کار می‌کنند.

• اگر به کمترین اصطکاک و بیشترین سادگی نیاز داری، احتمالاً توزیع‌های دسکتاپ معمولی مناسب‌ترند.

برداشت‌های نادرست رایج

• «Qubes ضد‌هک است.» → نه؛ هدف، محدودکردن دامنهٔ آسیب است، نه مصونیت مطلق.

• «همه‌چیز خودکار پاک می‌شود.» → فقط DispVMها با بستن از بین می‌روند؛ AppVMها دادهٔ پایدار دارند مگر خودت سیاست دیگری بدهی.

• «کلیپ‌بورد/فایل‌ها ممنوع است.» → مجاز است، اما هدایت‌شده و با تأیید کاربر.

واژه‌نامهٔ کوتاه

• Security by Compartmentalization: امنیت از راه جداسازی حوزه‌ها/فعالیت‌ها.

• Xen: هایپروایزر نوع-۱ برای اجرای VMها.

• dom0: دام مدیریتی بدون اینترنت.

• AppVM / TemplateVM / DispVM: انواع ماشین‌های Qubes برای کار روزمره، الگو و یک‌بارمصرف.

• Qrexec: مکانیزم ارتباط بین VMها با سیاست‌های امنیتی.

جمع‌بندی

Qubes OS با تبدیل هر فعالیت به «یک محفظهٔ جدا» احتمال فاجعهٔ امنیتی سراسری را پایین می‌آورد. این معماری قدرت‌مند، در برابرش هزینهٔ کارایی و پیچیدگی دارد. اگر امنیت برایت حیاتی است و حاضر به پرداخت این هزینه‌ای، Qubes یکی از بهترین گزینه‌هاست.