secure-os.org
ENFRESDEITPT
Todos os guiasQubes OSTailsWhonixLinux reforçadoEncriptação de discoModelo de ameaça
qubes

Qubes vs Tails vs Whonix: qual SO para o teu modelo de ameaça?

secure-os· Atualizado 12 de junho de 2026· 10 min de leitura #qubes#tails#whonix#comparison#threat-model
Matriz de decisão que compara Qubes OS, Tails e Whonix em cinco dimensões do modelo de ameaça sobre um fundo de terminal escuro

Nenhum sistema operativo de segurança é universalmente «o melhor». Cada um dos três principais SO de desktop seguros — Qubes OS, Tails e Whonix — foi concebido para um conjunto específico de modelos de ameaça, e usar a ferramenta errada para a tua situação é tão perigoso como não usar ferramenta nenhuma.

Esta comparação usa o quadro que orientou a antiga lista de correio Secure Desktops (2015–2017): começa pelo modelo de ameaça e só depois escolhe a ferramenta. Nunca ao contrário. Os três sistemas surgiram dessa comunidade ou cruzaram-se com ela. Patrick Schleizer (Whonix) e Joanna Rutkowska (Qubes) estavam ambos ativos nessas discussões; os programadores do Tails (sajolida e outros) estiveram presentes desde a reunião fundadora numa conferência europeia de segurança em 2015.

Com pressa? O nosso questionário Qual SO seguro associa o teu modelo de ameaça e o teu caso de uso a Qubes, Tails ou Whonix em menos de um minuto.

Os três sistemas num relance

Qubes OS é um desktop com hipervisor baseado em Xen que executa todas as aplicações do utilizador em máquinas virtuais isoladas (qubes). O comprometimento de um qube não se propaga aos outros. É um sistema operativo de uso diário, concebido para quem enfrenta ameaças direcionadas e ao mesmo tempo precisa de trabalhar continuamente numa única máquina.

Tails é um sistema operativo live em USB que corre inteiramente na RAM e encaminha todo o tráfego através do Tor. Por predefinição, esquece tudo entre sessões. Foi concebido para operações sensíveis episódicas em que a amnésia e o anonimato importam mais do que a persistência.

Whonix é um par de máquinas virtuais — um Gateway (pilha de rede apenas Tor) e uma Workstation (sem acesso ao IP real) — que correm dentro de um sistema operativo anfitrião. Combina o isolamento Tor com fluxos de trabalho persistentes e funciona sobre a tua instalação existente de Linux, Windows ou macOS.

Matriz de decisão

Esta matriz classifica a eficácia de cada sistema contra cinco categorias comuns de modelo de ameaça numa escala de três pontos: proteção forte (●●●), proteção parcial (●●○) ou proteção limitada (●○○).

AmeaçaQubesTailsWhonix
Malware / exploit direcionado●●●●●○●●○
Apreensão física do dispositivo●○○●●●●○○
Vigilância em massa / análise de tráfego●●○●●●●●●
Ligação de identidade / desanonimização●●○●●●●●●
Comprometimento do SO anfitrião●●●N/A●○○

A ler a tabela: nenhum sistema atinge ●●● em todas as dimensões. É exatamente esse o ponto. Escolhe com base na linha mais relevante para a tua situação.

Ameaça 1: malware direcionado e entrega de exploits

Melhor escolha: Qubes OS

Se um adversário sofisticado está ativamente a visar a tua máquina — por spear-phishing, exploits zero-day no navegador ou documentos maliciosos — a compartimentação do Qubes OS é a resposta arquitetural correta. O comprometimento da tua VM de e-mail não expõe a tua VM de documentos. Um navegador comprometido não alcança o teu qube de carteira. A camada de hipervisor torna isto uma garantia estrutural em vez de baseada em políticas.

O Tails oferece alguma proteção aqui — o seu Tor Browser corre num ambiente restrito e a superfície de ataque é reduzida —, mas o Tails não foi concebido para conter a persistência pós-exploit. Se um atacante explorar o Tails, a sessão fica comprometida. (A propriedade amnésica significa que o comprometimento não persiste na sessão seguinte — uma proteção significativa, mas diferente da compartimentação.)

O Whonix oferece isolamento de rede, mas não compartimenta ao nível da aplicação. Um exploit na Workstation do Whonix tem acesso a todos os ficheiros e processos dentro dessa VM.

Ameaça 2: apreensão física do dispositivo

Uma linha de comandos de terminal Linux.

Melhor escolha: Tails

Quando um dispositivo é apreendido — numa fronteira, pela polícia ou por roubo — o Tails oferece a proteção predefinida mais forte porque não há nada no dispositivo para apreender. A pen USB contém apenas o Armazenamento Persistente cifrado (se configurado) e o próprio SO Tails. Os dados de sessão estão na RAM e desaparecem ao desligar.

O Qubes OS guarda todos os qubes no disco anfitrião. A cifragem de disco completo protege os conteúdos em repouso, mas o volume cifrado existe. Um adversário sofisticado com a frase-passe (obtida sob coação) ou com o cabeçalho exposto por um ataque cold boot pode aceder aos dados.

O Whonix corre dentro de um sistema operativo anfitrião. O disco anfitrião contém as imagens VM tanto do Gateway como da Workstation, juntamente com todos os ficheiros que criaste nessas VM. A cifragem do disco anfitrião é a proteção relevante, mas o Whonix não a fornece por predefinição — depende da configuração do SO anfitrião.

Se o teu modelo de ameaça é a decifragem forçada (uma ordem judicial ou um agente de fronteira a obrigar-te a desbloquear o dispositivo), o design amnésico do Tails significa que não há nada que possa ser forçado. O Armazenamento Persistente cifrado existe, mas uma história de cobertura bem construída e um Armazenamento Persistente escasso ou vazio podem ser mais defensáveis do que explicar um disco rígido cifrado cheio de qubes. Vê também a abordagem do volume oculto do VeraCrypt para uma camada de negabilidade em discos fixos.

Ameaça 3: vigilância em massa e análise de tráfego

Melhor escolha: Tails ou Whonix (praticamente empatados)

Tanto o Tails como o Whonix encaminham, por design, todo o tráfego através da rede Tor. Nenhum permite tráfego fora do Tor em funcionamento normal, e ambos evitam fugas de DNS através do mesmo mecanismo (o Tor trata de toda a resolução de nomes). A proteção contra um adversário de vigilância ao nível do ISP ou nacional que observa que sites visitas é equivalente entre os dois.

A distinção: o Tails gera uma nova identidade Tor por sessão, enquanto o Whonix usa entry guards Tor persistentes. Para operações anónimas pontuais, o Tails é mais limpo. Para trabalho pseudónimo sustentado sob uma identidade consistente, os circuitos persistentes do Whonix são apropriados — mudar de circuitos com frequência pode na verdade revelar que o utilizador está a variar o comportamento, o que é detetável.

O Qubes OS não encaminha o tráfego através do Tor por predefinição. Podes configurar um gateway Tor-Whonix como qube e encaminhar VM específicas por ele (esta é, de facto, uma configuração avançada comum do Qubes), mas não é a configuração predefinida.

Ameaça 4: ligação de identidade e desanonimização

Melhor escolha: Tails (ligeira vantagem) ou Whonix

O Tails configura o Tor Browser com as definições de anonimato máximas, desativa o JavaScript por predefinição para o nível mais seguro e aleatoriza os endereços MAC. Cada sessão começa sem cookies, sem estado de fingerprinting, sem histórico. Esta é a postura predefinida mais forte para operações em que não podes ser ligado a sessões anteriores.

O Tor Browser do Whonix também oferece um anonimato forte, mas o ambiente Workstation persistente significa que, com o tempo, acumulas estado de sessão — pacotes instalados, histórico do navegador se alterares as predefinições, artefactos de ficheiros. Para utilizadores que mantêm uma identidade pseudónima consistente ao longo de semanas de trabalho, isto é apropriado. Para utilizadores que precisam que cada operação esteja claramente separada, o Tails é a melhor escolha.

Ameaça 5: comprometimento do SO anfitrião

Melhor escolha: Qubes OS (proteção única) — não aplicável ao Tails

O Tails não tem um SO anfitrião — é ele o SO. Isto torna-o imune à ameaça de um anfitrião comprometido.

O Qubes OS corre um dom0 mínimo, sem acesso à rede e intencionalmente endurecido. O comprometimento de um qube voltado para o utilizador não oferece um caminho até ao dom0 sem uma vulnerabilidade do hipervisor, e o modelo de segurança do Qubes acompanha e publica os Xen Security Advisories que o afetam.

O Whonix corre dentro de um SO anfitrião, e o SO anfitrião é explicitamente considerado de confiança por ambas as VM. Se o anfitrião for comprometido por malware antes de o Whonix arrancar, o Gateway e a Workstation não ficam protegidos. Esta é a principal limitação arquitetural do Whonix para ambientes de alta ameaça. Foi concebido para um anfitrião de confiança com uma rede não confiável — não para um anfitrião não confiável.

Recomendações práticas

Usa o Qubes OS se:

  • Enfrentas ameaças direcionadas e persistentes (ativista, jornalista, investigador de segurança)
  • Precisas de compartimentar o trabalho: VM separadas para clientes, identidades ou níveis de confiança separados
  • Consegues tolerar requisitos de hardware significativos (16+ GB de RAM recomendados) e uma curva de aprendizagem acentuada
  • Precisas de uma máquina de uso diário, não de operações anónimas episódicas

Usa o Tails se:

  • Precisas de amnésia e anonimato para operações episódicas
  • Podes enfrentar a apreensão física do teu dispositivo
  • Trabalhas a partir de máquinas que não controlas (computadores partilhados, hardware emprestado)
  • O teu modelo de ameaça inclui a decifragem forçada

Usa o Whonix se:

  • Precisas de trabalho pseudónimo sustentado com anonimato Tor
  • O teu sistema operativo anfitrião é de confiança e está sob o teu controlo
  • Já estás a usar KVM/VirtualBox e queres isolamento Tor sem substituir o teu SO anfitrião
  • Precisas do isolamento workstation-gateway como camada dentro de uma configuração de segurança mais ampla (comum em configurações avançadas do Qubes)

Considera combinar: Qubes OS com um qube gateway Whonix é uma configuração documentada e madura. Oferece a compartimentação do Qubes e o encaminhamento Tor para VM selecionadas. Qubes-Whonix é oficialmente suportado e documentado.

Notas sobre hardware

Qubes OS: requer suporte IOMMU (Intel VT-d ou AMD-Vi), 16+ GB de RAM fortemente recomendados, 32+ GB para trabalhar com conforto com vários qubes a correr em simultâneo. A lista de hardware certificado pelo Qubes é a fonte autoritativa. Muitos portáteis modernos funcionam; os MacBooks geralmente não.

Tails: requer uma máquina x86-64 capaz de arrancar a partir de USB. Mínimo de 2 GB de RAM. Funciona na maioria do hardware fabricado depois de 2010. Não suporta Apple Silicon.

Whonix: requer uma máquina anfitriã capaz de executar duas VM em simultâneo. VirtualBox ou KVM/QEMU em qualquer máquina x86-64 moderna com 8+ GB de RAM é suficiente.

FAQ

P: Posso executar o Tails dentro do Qubes OS como qube? R: Existe um template de qube Tails mantido pela comunidade, mas não é oficialmente suportado nem recomendado por nenhum dos projetos. A propriedade amnésica do Tails fica de certa forma comprometida quando corre dentro de um qube Qubes com uma imagem de disco persistente. Para a maioria dos casos de uso, executa o Tails a partir de USB físico para a amnésia e usa o Qubes OS a partir do SSD da mesma máquina para o trabalho compartimentado — servem modelos de ameaça diferentes.

P: O Qubes OS é prático para uso diário em 2026? R: Tornou-se significativamente mais prático desde 2022. O lançamento do Qubes 4.2 melhorou a gestão de dispositivos e os tempos de arranque das app VM. Com hardware adequado (CPU moderna, 32 GB de RAM, SSD NVMe), é um daily driver viável para utilizadores técnicos. A curva de aprendizagem é real — conta com 2–4 semanas até o fluxo de trabalho parecer natural. Vê a análise completa do Qubes OS para uma avaliação detalhada.

P: O Whonix protege contra um ataque por nó de saída Tor? R: O Whonix (e o Tails) protegem o teu endereço IP real dos sites que visitas através do Tor. Não cifram o tráfego entre o nó de saída Tor e o site de destino. Por essa razão, ambos recomendam usar HTTPS em todas as ligações, e o Tor Browser impõe o modo apenas HTTPS. Um nó de saída malicioso consegue ver o conteúdo do tráfego HTTP não cifrado, embora não o teu IP real.