secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
qubes

Qubes OS nel 2026: come funziona davvero il desktop OS più sicuro

secure-os· Aggiornato 12 giugno 2026· 12 min di lettura #qubes#compartmentalization#linux
Desktop di Qubes OS che mostra domini di sicurezza con codice colore in un window manager a riquadri

La maggior parte dei sistemi operativi orientati alla sicurezza tratta l’isolamento delle minacce come una funzionalità. Qubes OS lo tratta come l’architettura fondamentale. Il risultato è un ambiente desktop diverso da qualsiasi altra cosa nell’ecosistema open-source — e uno che si è guadagnato il sostegno di Edward Snowden, della Freedom of the Press Foundation e di ricercatori di sicurezza che lavorano quotidianamente con modelli di minaccia avversari.

Questa recensione tratta cosa fa effettivamente Qubes, come funziona dietro le quinte, per chi ha senso e dove non è all’altezza. Trattiamo i requisiti hardware reali, non i minimi teorici.

Cos’è Qubes OS?

Qubes OS è un sistema operativo desktop basato su Xen costruito attorno al principio della sicurezza per compartimentazione. Anziché eseguire il tuo browser, il client email e i documenti di lavoro all’interno di un unico sistema operativo — dove la compromissione di una qualsiasi applicazione può propagarsi alle altre — Qubes esegue ciascuno di questi in macchine virtuali isolate chiamate qubes (più formalmente, AppVM).

Il progetto è stato fondato da Joanna Rutkowska, ricercatrice di sicurezza polacca e fondatrice di Invisible Things Lab. Rutkowska ha annunciato il progetto nel 2010 e ha rilasciato la prima versione pubblica nel 2012. È nota anche per le sue precedenti ricerche su Blue Pill (un rootkit di virtualizzazione hardware) e sulle vulnerabilità di Intel TXT — lavori che hanno consolidato la sua credibilità nella sicurezza dei sistemi a basso livello.

Qubes 4.2, la serie di rilascio stabile attuale a metà 2026, ha portato cambiamenti significativi: una migrazione a una nuova Admin API, una migliore gestione dei dispositivi e un supporto migliorato per AMD IOMMU. Il changelog completo è mantenuto su qubes-os.org/doc/releases/4.2/.

Il progetto è raccomandato da Snowden almeno dal 2016 ed è usato come sistema quotidiano da diversi giornalisti e ricercatori della Freedom of the Press Foundation. È gratuito e open-source, rilasciato sotto licenza GPL.

L’architettura: come funziona davvero la compartimentazione

Capire Qubes richiede di capire tre livelli distinti: l’hypervisor, il dominio di gestione e i qubes utente.

L’hypervisor Xen

Qubes non gira direttamente su Linux. Gira sull’hypervisor Xen, un hypervisor di tipo 1 (bare-metal) che si avvia prima di qualsiasi sistema operativo. Questo conta perché significa che l’hypervisor ha il controllo diretto dell’hardware; nessun singolo OS ospite può compromettere gli altri senza prima compromettere Xen stesso.

Xen è stato oggetto di una ricerca di sicurezza costante e ha un team di sicurezza dedicato che emette gli XSA (Xen Security Advisory). Qubes mantiene una pagina che traccia quali XSA riguardano le installazioni di Qubes — il modello di sicurezza è trasparente riguardo alle proprie dipendenze.

dom0: il dominio di gestione

Qubes esegue una macchina virtuale privilegiata chiamata dom0 (dominio zero) che gestisce l’output del display, i dispositivi di input e l’amministrazione. dom0 esegue una versione ridotta di Fedora o Debian Linux ed è intenzionalmente isolata dalla rete. Nessuna connettività di rete è permessa in dom0 per impostazione predefinita. Se dom0 viene compromesso, il sistema è di fatto compromesso — ed è per questo che Qubes si impegna molto a tenere dom0 lontano da input non fidati.

Interagisci con dom0 tramite il Qubes Manager e il terminale, ma non navighi sul web né apri allegati email lì.

AppVM: i tuoi veri ambienti di lavoro

Le tue applicazioni quotidiane girano nelle AppVM (chiamate anche qubes). Una configurazione tipica potrebbe includere:

  • Un qube work con i tuoi strumenti d’ufficio e la VPN
  • Un qube personal per la navigazione personale
  • Un qube banking usato solo per i siti finanziari
  • Un qube untrusted per download e link casuali di cui non ti fidi del tutto

Ogni qube appare sul tuo desktop come una normale finestra, con codice colore per dominio (rosso per non fidato, verde per fidato, giallo per intermedio). Le finestre sono integrate in modo trasparente usando il compositing X Window di Qubes — vedi un desktop unificato, ma ogni finestra è in realtà renderizzata all’interno della propria VM.

Template

Le AppVM non portano ciascuna un’installazione completa dell’OS. Invece, condividono template VM di sola lettura. Una TemplateVM potrebbe essere un’installazione completa di Fedora o Debian; più AppVM possono basarsi su di essa. Le modifiche fatte all’interno di una AppVM persistono in un sottile strato di archiviazione privato, non nel template. Questo significa che puoi aggiornare il software nel template e tutte le AppVM basate su di esso ereditano l’aggiornamento — ma una AppVM compromessa non può modificare il template.

Qubes usa e getta

Le DisposableVM (o Disposables) sono qubes effimere che scompaiono interamente quando le chiudi. Apri un allegato PDF sospetto in una Disposable — quando chiudi il visualizzatore, tutto ciò che il PDF può aver fatto a quella VM è andato. Questa è una delle funzioni di sicurezza più pratiche di Qubes per l’uso quotidiano.

Requisiti hardware: cosa ti serve davvero

Un prompt del terminale Linux.

Le specifiche minime ufficiali sono tecnicamente corrette ma praticamente insufficienti per un uso confortevole.

ComponenteMinimoConsigliato
CPUIntel o AMD a 64 bit con VT-x/AMD-VIntel Core i7/i9 o AMD Ryzen 7/9 (generazione recente)
RAM6 GB16 GB (32 GB per utenti esigenti)
ArchiviazioneSSD da 32 GBSSD NVMe da 128 GB+
IOMMURichiesto (VT-d / AMD-Vi)Richiesto
TPMOpzionale2.0 consigliato

La RAM è il principale collo di bottiglia. Ogni qube in esecuzione consuma memoria in modo indipendente. Una configurazione con dom0, un sys-net, un sys-firewall, un sys-usb e tre AppVM aperte simultaneamente consumerà da 10 a 14 GB con un carico normale. Eseguire con meno di 8 GB è tecnicamente possibile ma comporterà swapping frequente e un’esperienza visibilmente degradata.

Il supporto IOMMU (VT-d su Intel, AMD-Vi su AMD) è obbligatorio. Senza di esso, Qubes non può imporre l’isolamento a livello hardware per dispositivi come schede di rete e controller USB, il che vanifica gran parte del modello di sicurezza. La maggior parte dei laptop consumer prodotti dopo il 2018 lo supporta, ma controlla la Qubes Hardware Compatibility List (HCL) prima di acquistare hardware specificamente per Qubes.

La HCL è mantenuta dalla comunità ed elenca i modelli con configurazioni note funzionanti. I Lenovo ThinkPad (X1 Carbon, serie T) e i laptop Purism Librem compaiono spesso come opzioni ben testate. Le macchine System76 hanno risultati misti a seconda del modello e della versione del firmware.

Qubes vs. l’esecuzione di VM in una configurazione Linux standard

Una domanda comune: perché non eseguire semplicemente VirtualBox o KVM su Ubuntu? La risposta è che le proprietà di sicurezza sono fondamentalmente diverse.

ProprietàQubes OSLinux standard + VM
Tipo di hypervisorTipo 1 (Xen, bare metal)Tipo 2 (gira dentro l’OS host)
Superficie d’attacco dell’OS hostdom0 è minimale, nessuna reteOS host completo esposto
Isolamento GUIComposited, imposto a livello hardwareServer X condiviso (superficie d’attacco significativa)
Isolamento USBVM sys-usb per impostazione predefinitaUSB collegato direttamente all’host
Isolamento di reteVM sys-net, separata dalle appStack di rete dell’host condiviso
Sistema di templateBase condivisa di sola lettura, sottile strato privatoDisco completo per VM o configurazione manuale
Ambienti usa e gettaFunzione di prima classeManuale, nessuna integrazione

Eseguire una VM all’interno di un OS convenzionale aggiunge uno strato di isolamento, ma l’OS host rimane un singolo punto di rottura. Un keylogger installato sull’host vede tutto. Qubes rimuove del tutto l’OS host fidato — l’hypervisor è il componente fidato, ed è molto più piccolo.

Per chi è Qubes

Qubes ha senso se il tuo modello di minaccia include attacchi mirati contro la tua workstation — giornalisti che comunicano con fonti in giurisdizioni ostili, avvocati che gestiscono comunicazioni sensibili con i clienti, ricercatori di sicurezza che analizzano malware o attivisti che operano sotto sorveglianza.

Ha senso anche per utenti tecnicamente sofisticati che vogliono una forte compartimentazione come pratica di igiene generale, anche senza un avversario specifico in mente.

Non ha senso come prima esperienza con Linux. La curva di apprendimento è reale. Capire i template, le AppVM e l’infrastruttura sys-* richiede familiarità con il funzionamento della virtualizzazione e delle reti. La documentazione di Qubes è approfondita e ben mantenuta, ma è estesa.

La comunità di Qubes è stata storicamente attiva sulle mailing list di sviluppo e nei forum. La mailing list Secure Desktops ospitata su questo dominio nel 2015 includeva la partecipazione di Rutkowska e dei contributori principali di Qubes — vedi la nostra pagina heritage per questa storia. La carta del progetto emersa da quelle discussioni informa ancora il modo in cui trattiamo i sistemi basati sulla compartimentazione.

Panoramica dell’installazione

L’installazione segue un flusso standard dell’installer Fedora/Anaconda. Scarica l’ISO da qubes-os.org, verifica la firma rispetto alla Qubes Master Signing Key (la documentazione ti guida con GPG) e avvia da USB.

L’installer configura dom0, crea le template VM predefinite (Fedora e Debian per impostazione predefinita) e configura le VM di servizio sys-*. Il primo avvio richiede più tempo di un’installazione Linux standard perché i template vengono popolati. Il tempo totale di installazione è tipicamente da 30 a 60 minuti a seconda della velocità di archiviazione.

Dopo l’installazione, il Qubes Manager fornisce una GUI per creare e gestire i qubes. La configurazione avanzata avviene in dom0 tramite il terminale usando i comandi qvm-*.

Limitazioni che vale la pena conoscere

Il passthrough della GPU è difficile. Eseguire applicazioni con accelerazione GPU all’interno delle AppVM non è semplice. Il gaming su Qubes è essenzialmente non supportato come caso d’uso mainstream. Il montaggio video con accelerazione GPU è similmente limitato. Questa è una limitazione architetturale nota — il problema dell’isolamento della GPU è difficile da risolvere senza introdurre nuove superfici d’attacco.

L’overhead delle prestazioni è reale. Eseguire più VM significa che memoria e CPU sono condivise tra di esse. Su hardware adeguato (32 GB di RAM, CPU moderna con molti core), è gestibile. Su una macchina da 16 GB con molti qubes aperti, lo noterai.

La sospensione e la ripresa possono essere inaffidabili. Il comportamento di suspend/resume dipende fortemente dal supporto hardware per Xen. Alcune macchine funzionano bene; altre no. Controlla la HCL prima di presumere che il tuo laptop vada in sospensione normalmente.

L’esperienza d’uso è particolare. Copiare file tra qubes richiede un trasferimento inter-qube esplicito. La condivisione degli appunti è intenzionalmente limitata — incolli in un qube di destinazione deliberatamente, non automaticamente. Dal punto di vista della sicurezza sono funzioni, ma creano attriti che gli utenti abituati ai desktop standard noteranno.

Qubes e il tuo stack di privacy

La compartimentazione risolve l’isolamento della workstation. Non risolve ogni problema di privacy. Il tuo provider email vede ancora i tuoi messaggi prima che raggiungano il tuo client di posta, indipendentemente da quale qube lo esegue.

Qubes non risolve nemmeno la questione di dove vivano i tuoi documenti quando lasciano la macchina. I backup da dom0 richiedono una certa attenzione — lo strumento qvm-backup gestisce il backup inter-qube, ma l’archiviazione fuori dalla macchina è una questione separata. Per il contenuto di un qube di documenti, vale la pena considerare una soluzione cloud cifrata che non richieda di fidarsi della macchina host.

Per uno sguardo più ampio su come Qubes si inserisce in un approccio alla privacy a più livelli, la documentazione di Qubes tratta la combinazione dell’isolamento a livello di OS con protezioni a livello di rete come l’integrazione Whonix descritta sopra.

Verdetto

Qubes OS è il sistema operativo desktop progettato in modo più rigoroso disponibile per gli utenti con serie esigenze di sicurezza. Il modello di compartimentazione basato su Xen, il sistema di template e le VM usa e getta rappresentano un’architettura di sicurezza coerente — non una raccolta di patch di rafforzamento applicate a un OS convenzionale.

I compromessi sono reali: i requisiti hardware sono elevati, il supporto GPU è limitato e la curva di apprendimento è ripida. Per gli utenti il cui modello di minaccia giustifica quei compromessi, Qubes è ineguagliabile.

Per gli utenti che esplorano alternative, vedi la nostra trattazione di Tails OS (sistema live amnesico, caso d’uso diverso) e il nostro confronto delle distribuzioni Linux più sicure. Questi sistemi affrontano modelli di minaccia sovrapposti ma distinti — la scelta giusta dipende da come lavori davvero e da cosa stai proteggendo.

Il progetto Qubes è mantenuto attivamente, con un team di sicurezza reattivo e una storia di divulgazione trasparente. Se stai passando a un flusso di lavoro compartimentato, l’investimento nell’imparare Qubes ripaga in proporzione alla sensibilità di ciò che stai proteggendo.

Domande frequenti

Cos’è Qubes OS in termini semplici?

Qubes OS è un sistema operativo orientato alla sicurezza che isola le tue attività in macchine virtuali separate chiamate «qubes» — per esempio, una per il lavoro, una per il banking, una per la navigazione non fidata. Se un qube viene compromesso, il danno resta contenuto e non può raggiungere gli altri. Viene spesso descritto come «sicurezza per compartimentazione.»

Qubes OS è difficile da usare?

Ha una curva di apprendimento più ripida di un desktop normale e richiede hardware capace (buona RAM e supporto alla virtualizzazione). L’uso quotidiano è gestibile una volta configurato, ma richiede di pensare in quale qube fare le cose. Premia gli utenti con modelli di minaccia ad alto rischio; per gli utenti occasionali è di solito più di quanto serva loro.

Chi dovrebbe usare Qubes OS?

Giornalisti, attivisti, ricercatori, professionisti della sicurezza e chiunque affronti minacce mirate e abbia bisogno di un forte isolamento. Per gli utenti quotidiani, un OS mainstream ben mantenuto con crittografia dell’intero disco e buone abitudini è di solito sufficiente — Qubes brilla quando la compartimentazione conta davvero.