Qubes vs Tails vs Whonix: quale OS per il tuo modello di minaccia?
Nessun sistema operativo orientato alla sicurezza è universalmente «il migliore». Ciascuno dei tre principali OS desktop sicuri — Qubes OS, Tails e Whonix — è stato progettato per un insieme specifico di modelli di minaccia, e usare lo strumento sbagliato per la tua situazione è pericoloso quanto non usarne alcuno.
Questo confronto adotta il quadro che ha guidato la storica mailing list Secure Desktops (2015–2017): parti dal modello di minaccia, poi scegli lo strumento. Non il contrario. Tutti e tre i sistemi sono emersi da quella comunità o vi si sono incrociati. Patrick Schleizer (Whonix) e Joanna Rutkowska (Qubes) erano entrambi attivi in quelle discussioni; gli sviluppatori di Tails (sajolida e altri) erano presenti fin dall’incontro fondativo a una conferenza europea sulla sicurezza nel 2015.
Hai fretta? Il nostro quiz Quale OS sicuro associa il tuo modello di minaccia e il tuo caso d’uso a Qubes, Tails o Whonix in meno di un minuto.
I tre sistemi a colpo d’occhio
Qubes OS è un desktop con hypervisor basato su Xen che esegue tutte le applicazioni dell’utente in macchine virtuali isolate (qubes). La compromissione di un qube non si propaga agli altri. È un sistema operativo per l’uso quotidiano, progettato per chi affronta minacce mirate pur dovendo lavorare ininterrottamente su una singola macchina.
Tails è un sistema operativo live su USB che gira interamente in RAM e instrada tutto il traffico attraverso Tor. Per impostazione predefinita dimentica tutto tra una sessione e l’altra. È progettato per operazioni sensibili episodiche in cui amnesia e anonimato contano più della persistenza.
Whonix è una coppia di macchine virtuali — un Gateway (stack di rete solo Tor) e una Workstation (nessun accesso all’IP reale) — che girano dentro un sistema operativo host. Combina l’isolamento Tor con flussi di lavoro persistenti e funziona sopra la tua installazione esistente di Linux, Windows o macOS.
Matrice decisionale
Questa matrice valuta l’efficacia di ciascun sistema contro cinque categorie comuni di modello di minaccia su una scala a tre punti: protezione forte (●●●), protezione parziale (●●○) o protezione limitata (●○○).
| Minaccia | Qubes | Tails | Whonix |
|---|---|---|---|
| Malware / exploit mirato | ●●● | ●●○ | ●●○ |
| Sequestro fisico del dispositivo | ●○○ | ●●● | ●○○ |
| Sorveglianza di massa / analisi del traffico | ●●○ | ●●● | ●●● |
| Collegamento di identità / deanonimizzazione | ●●○ | ●●● | ●●● |
| Compromissione dell’OS host | ●●● | N/A | ●○○ |
Leggendo la tabella: nessun sistema ottiene ●●● in tutte le dimensioni. È proprio questo il punto. Scegli in base a quale riga è più rilevante per la tua situazione.
Minaccia 1: malware mirato e consegna di exploit
Scelta migliore: Qubes OS
Se un avversario sofisticato sta prendendo attivamente di mira la tua macchina — tramite spear-phishing, exploit zero-day del browser o documenti malevoli — la compartimentazione di Qubes OS è la risposta architetturale corretta. La compromissione della tua VM di posta non espone la tua VM dei documenti. Un browser compromesso non raggiunge il tuo qube wallet. Lo strato hypervisor rende questa una garanzia strutturale anziché basata su criteri.
Tails offre una certa protezione qui — il suo Tor Browser gira in un ambiente ristretto e la superficie di attacco è ridotta — ma Tails non è progettato per contenere la persistenza post-exploit. Se un attaccante sfrutta Tails, la sessione è compromessa. (La proprietà amnesica significa che la compromissione non persiste nella sessione successiva — una protezione significativa ma diversa dalla compartimentazione.)
Whonix offre isolamento di rete ma non compartimenta a livello applicativo. Un exploit nella Workstation di Whonix ha accesso a tutti i file e processi all’interno di quella VM.
Minaccia 2: sequestro fisico del dispositivo
Scelta migliore: Tails
Quando un dispositivo viene sequestrato — a una frontiera, dalla polizia o per furto — Tails offre la protezione predefinita più forte perché non c’è nulla sul dispositivo da sequestrare. La chiavetta USB contiene solo l’Archiviazione persistente cifrata (se configurata) e il sistema Tails stesso. I dati di sessione sono in RAM e spariscono allo spegnimento.
Qubes OS memorizza tutti i qubes sul disco host. La cifratura dell’intero disco protegge i contenuti a riposo, ma il volume cifrato esiste. Un avversario sofisticato in possesso della passphrase (ottenuta sotto costrizione) o con l’header esposto da un attacco cold boot può accedere ai dati.
Whonix gira dentro un sistema operativo host. Il disco host contiene le immagini VM sia del Gateway sia della Workstation, insieme a tutti i file che hai creato in quelle VM. La cifratura del disco host è la protezione pertinente, ma Whonix non la fornisce per impostazione predefinita — dipende dalla configurazione dell’OS host.
Se il tuo modello di minaccia è la decifratura forzata (un’ordinanza del tribunale o un funzionario di frontiera che ti obbliga a sbloccare il dispositivo), il design amnesico di Tails fa sì che non ci sia nulla da costringere. L’Archiviazione persistente cifrata esiste, ma una storia di copertura ben costruita e un’Archiviazione persistente scarna o vuota possono essere più difendibili che spiegare un disco rigido cifrato pieno di qubes. Vedi anche l’approccio del volume nascosto di VeraCrypt per uno strato di negabilità sui dischi fissi.
Minaccia 3: sorveglianza di massa e analisi del traffico
Scelta migliore: Tails o Whonix (di fatto pari)
Sia Tails sia Whonix instradano per progettazione tutto il traffico attraverso la rete Tor. Nessuno dei due consente traffico al di fuori di Tor in funzionamento normale, ed entrambi prevengono le fughe DNS con lo stesso meccanismo (Tor gestisce tutta la risoluzione dei nomi). La protezione contro un avversario di sorveglianza a livello di ISP o nazionale che osserva quali siti visiti è equivalente tra i due.
La distinzione: Tails genera una nuova identità Tor per ogni sessione, mentre Whonix usa entry guard Tor persistenti. Per operazioni anonime una tantum, Tails è più pulito. Per un lavoro pseudonimo sostenuto sotto un’identità coerente, i circuiti persistenti di Whonix sono appropriati — cambiare circuiti di frequente può in realtà rivelare che l’utente sta variando il comportamento, il che è rilevabile.
Qubes OS non instrada il traffico attraverso Tor per impostazione predefinita. Puoi configurare un gateway Tor-Whonix come qube e instradare VM specifiche attraverso di esso (questa è in effetti una configurazione avanzata comune di Qubes), ma non è la configurazione predefinita.
Minaccia 4: collegamento di identità e deanonimizzazione
Scelta migliore: Tails (leggero vantaggio) o Whonix
Tails configura il Tor Browser con le impostazioni di anonimato massime, disabilita JavaScript per impostazione predefinita per il livello più sicuro e randomizza gli indirizzi MAC. Ogni sessione inizia senza cookie, senza stato di fingerprinting, senza cronologia. È la postura predefinita più forte per operazioni in cui non devi essere collegato a sessioni precedenti.
Anche il Tor Browser di Whonix offre un forte anonimato, ma l’ambiente Workstation persistente fa sì che, col tempo, accumuli stato di sessione — pacchetti installati, cronologia del browser se modifichi le impostazioni predefinite, artefatti di file. Per gli utenti che mantengono un’identità pseudonima coerente nell’arco di settimane di lavoro, questo è appropriato. Per gli utenti che hanno bisogno che ogni operazione sia nettamente separata, Tails è la scelta migliore.
Minaccia 5: compromissione dell’OS host
Scelta migliore: Qubes OS (protezione unica) — non applicabile per Tails
Tails non ha un OS host — è esso stesso l’OS. Questo lo rende immune alla minaccia di un host compromesso.
Qubes OS esegue un dom0 minimale che non ha accesso alla rete ed è intenzionalmente irrobustito. La compromissione di un qube rivolto all’utente non offre un percorso verso dom0 senza una vulnerabilità dell’hypervisor, e il modello di sicurezza di Qubes traccia e pubblica i Xen Security Advisory che lo riguardano.
Whonix gira dentro un OS host, e l’OS host è esplicitamente considerato fidato da entrambe le VM. Se l’host viene compromesso da malware prima dell’avvio di Whonix, il Gateway e la Workstation non sono protetti. Questa è la principale limitazione architetturale di Whonix per ambienti ad alta minaccia. È progettato per un host fidato con una rete non fidata — non per un host non fidato.
Raccomandazioni pratiche
Usa Qubes OS se:
- Affronti minacce mirate e persistenti (attivista, giornalista, ricercatore di sicurezza)
- Hai bisogno di compartimentare il lavoro: VM separate per clienti, identità o livelli di fiducia separati
- Puoi tollerare requisiti hardware significativi (16+ GB di RAM consigliati) e una curva di apprendimento ripida
- Hai bisogno di una macchina per l’uso quotidiano, non di operazioni anonime episodiche
Usa Tails se:
- Hai bisogno di amnesia e anonimato per operazioni episodiche
- Potresti affrontare il sequestro fisico del tuo dispositivo
- Lavori da macchine che non controlli (computer condivisi, hardware in prestito)
- Il tuo modello di minaccia include la decifratura forzata
Usa Whonix se:
- Hai bisogno di un lavoro pseudonimo sostenuto con anonimato Tor
- Il tuo sistema operativo host è fidato e sotto il tuo controllo
- Stai già usando KVM/VirtualBox e vuoi l’isolamento Tor senza sostituire il tuo OS host
- Hai bisogno dell’isolamento workstation-gateway come strato all’interno di un assetto di sicurezza più ampio (comune nelle configurazioni avanzate di Qubes)
Valuta la combinazione: Qubes OS con un qube gateway Whonix è una configurazione documentata e matura. Offre la compartimentazione di Qubes e l’instradamento Tor per VM selezionate. Qubes-Whonix è supportato e documentato ufficialmente.
Note sull’hardware
Qubes OS: richiede il supporto IOMMU (Intel VT-d o AMD-Vi), 16+ GB di RAM fortemente consigliati, 32+ GB per lavorare comodamente con più qubes in esecuzione simultanea. La lista dell’hardware certificato Qubes è la fonte autorevole. Molti laptop moderni funzionano; i MacBook generalmente no.
Tails: richiede una macchina x86-64 in grado di avviarsi da USB. Minimo 2 GB di RAM. Funziona sulla maggior parte dell’hardware prodotto dopo il 2010. Non supporta Apple Silicon.
Whonix: richiede una macchina host capace di eseguire due VM simultaneamente. VirtualBox o KVM/QEMU su qualsiasi macchina x86-64 moderna con 8+ GB di RAM è sufficiente.
FAQ
D: Posso eseguire Tails dentro Qubes OS come qube? R: Esiste un template Tails qube mantenuto dalla comunità, ma non è ufficialmente supportato o raccomandato da nessuno dei due progetti. La proprietà amnesica di Tails viene in qualche modo compromessa quando gira dentro un qube Qubes con un’immagine di disco persistente. Per la maggior parte dei casi d’uso, esegui Tails da USB fisico per l’amnesia e usa Qubes OS dall’SSD della stessa macchina per il lavoro compartimentato — servono modelli di minaccia diversi.
D: Qubes OS è pratico per l’uso quotidiano nel 2026? R: È diventato significativamente più pratico dal 2022. Il rilascio di Qubes 4.2 ha migliorato la gestione dei dispositivi e i tempi di avvio delle app VM. Con hardware adeguato (CPU moderna, 32 GB di RAM, SSD NVMe), è un daily driver valido per utenti tecnici. La curva di apprendimento è reale — aspettati 2–4 settimane prima che il flusso di lavoro risulti naturale. Vedi la recensione completa di Qubes OS per una valutazione dettagliata.
D: Whonix protegge da un attacco tramite nodo di uscita Tor? R: Whonix (e Tails) proteggono il tuo indirizzo IP reale dai siti che visiti tramite Tor. Non cifrano il traffico tra il nodo di uscita Tor e il sito di destinazione. Per questo motivo, entrambi raccomandano di usare HTTPS per tutte le connessioni, e il Tor Browser impone la modalità solo HTTPS. Un nodo di uscita malevolo può vedere il contenuto del traffico HTTP non cifrato, ma non il tuo IP reale.