Whonix

Whonix — это анонимная ОС с двухвиртуальной компартментализацией — операционная система, ориентированная на безопасность, которая работает как две виртуальные машины параллельно: Рабочая ВМ, где вы выполняете реальную работу, и Шлюзовая ВМ, которая обрабатывает всю маршрутизацию Tor. Рабочая ВМ никогда не видит публичный интернет — она может общаться только со Шлюзом, который затем маршрутизирует через Tor. Оценён как Grade A, потому что Whonix занимает структурно уникальную позицию доверия: даже если ваши приложения, ваш браузер или сама операционная система скомпрометированы, они не могут раскрыть ваш реальный IP, потому что у них нет доступа к сети, которая знает ваш реальный IP. Лучше всего сочетается с Qubes OS для самой строгой настройки постоянной анонимности; Tails — эфемерно-амнезийная альтернатива для других моделей угроз.

Background. Whonix был создан в 2012 году Patrick Schleizer (псевдоним: adrelanos) и продолжает поддерживаться Whonix Project с командой участников. Распространяется в виде образов VirtualBox, образов KVM и как канонический слой анонимности внутри Qubes OS (где Whonix рекомендован самим Qubes Project). Открытый исходный код под GPLv3; кодовая база на github.com/Whonix. Финансируется за счёт пожертвований и грантов Open Tech Fund в прошлом; команда сопротивлялась коммерческой продуктоизации, которая скомпрометировала бы принципы конфиденциальности. Модель угроз, против которой спроектирован Whonix, сложна: не просто «слежка на уровне провайдера» (Tor Browser решает это), а «компрометация на уровне приложений» — что, если в вашем браузере есть уязвимость нулевого дня, что, если ваш PDF-ридер раскрывает ваш IP через встроенный JavaScript-виджет, что, если сама ОС заражена вредоносным ПО? Компартментализация Whonix означает, что эти компрометации не могут раскрыть ваш IP, потому что у скомпрометированного ПО нет пути его обнаружить.

What you trust. Сетевая компартментализация — Рабочая ВМ не имеет прямого доступа к сети; у неё есть виртуальный сетевой адаптер, подключённый только к Шлюзовой ВМ. Даже root-доступ на Рабочей ВМ не может это обойти, потому что виртуальная сеть не имеет маршрута в публичный интернет. Tor обрабатывается на Шлюзе — весь трафик с Рабочей ВМ принудительно проходит через Tor на уровне Шлюза; ни одно приложение не может отказаться. Изоляция потоков — соединения с разными пунктами назначения автоматически используют разные цепи Tor (так что утечка из вкладки браузера не деанонимизирует отдельную сессию электронной почты). Усиленные настройки по умолчанию — Whonix-Workstation поставляется с усиленным Tor Browser, профилями AppArmor, изолированными приложениями, усиленными параметрами ядра. Воспроизводимые сборки — релизы Whonix воспроизводимы из исходного кода; процесс сборки документирован и проверяем. Основа — Debian + Tor + Kicksecure — ОС построена на Debian (хорошо аудированная основа), Tor (каноническая сеть анонимности) и Kicksecure (сопутствующий дистрибутив усиленного Debian от Whonix Project). Чему вы не доверяете: хост-операционной системе — Whonix работает как ВМ поверх хоста (ваш хост VirtualBox/KVM). Если хост скомпрометирован, компартментализация Whonix может быть обойдена (вредоносное ПО на уровне хоста может видеть экран Рабочей ВМ, нажатия клавиш, файлы). Для самой сильной защиты запускайте Whonix на Qubes OS (где каждая ВМ изолирована гипервизором, устраняя предположение о доверии хосту).

Operational specs. Платформы: VirtualBox (кроссплатформенный хост: macOS, Windows, Linux); KVM (нативный Linux); канонический слой анонимности для Qubes OS (Qubes-Whonix). Модель ВМ: Whonix-Gateway (запускает Tor, предоставляет локальный сетевой интерфейс) + Whonix-Workstation (ваше реальное десктопное окружение, общается только с Gateway). Требования к ресурсам: минимум 4 ГБ ОЗУ, рекомендуется 8 ГБ; 100 ГБ дискового пространства для обеих ВМ вместе; 64-битный CPU с расширениями виртуализации. Окружение рабочей станции: десктоп XFCE (лёгкий, поддающийся усилению), с предустановленными Tor Browser, Thunderbird с Enigmail, OnionShare, KeePassXC и другими инструментами конфиденциальности. Обновления: управляются через систему пакетов Whonix; обновления маршрутизируются через Tor (путь обновления Шлюза использует onion-сервисы, где доступно). Постоянство: в отличие от Tails (который амнезиен по умолчанию), Whonix постоянен — файлы, сохранённые на Рабочей ВМ, сохраняются между перезагрузками. Это особенность для многодневных рабочих процессов и компромисс для пользователей, нуждающихся в амнезии по умолчанию (используйте Tails для этого). Несколько рабочих станций: вы можете запускать несколько Рабочих ВМ параллельно, каждая с разными контекстами идентичности, все маршрутизируясь через один Шлюз. Размытие времени: Whonix слегка рандомизирует системные часы для предотвращения идентификации по времени. Рандомизация MAC-адреса: при загрузке Рабочая ВМ генерирует случайный виртуальный MAC.

Philosophy. Редакционный отличительный признак Whonix — подход структурной изоляции к анонимности. Tor Browser помещает логику анти-деанонимизации внутрь одного приложения (и приложение является вашей поверхностью доверия). Tails расширяет это на всю ОС с амнезийным по умолчанию хранением. Whonix расширяет это ещё дальше: ОС компартментализируется на две ВМ, слой приложений не может достичь сети, знающей ваш IP, а режимы отказов смещаются от «это приложение раскрыло ваш IP» к «гипервизор или хост скомпрометирован» — структурно более сложная атака. Компромисс: операционная сложность. Вы управляете двумя ВМ вместо одной, балансируете память между ними, осторожно обрабатываете общий буфер обмена. Для моделей угроз, где компрометация на уровне приложений является достоверным вектором атаки — сложная журналистика, активизм в регионах с интенсивным наблюдением, долгосрочная анонимная инфраструктура — сложность оправдана. Для повседневной конфиденциальности просмотра достаточно одного Tor Browser.

Grade rationale. Оценка Grade A отражает: более 13 лет операционной непрерывности (с 2012 года); открытый исходный код под лицензией GPLv3; документированные воспроизводимые сборки; построена на Debian + Tor + Kicksecure (хорошо аудированная основа); структурная сетевая компартментализация (Рабочая ВМ не может напрямую выйти в интернет); канонический слой анонимности, рекомендованный Qubes OS Project; изоляция потоков между приложениями; усиленные настройки по умолчанию (AppArmor, параметры ядра); постоянное хранение для многодневных рабочих процессов; несколько Рабочих ВМ для изоляции контекстов идентичности; названный мейнтейнер (Patrick Schleizer / adrelanos) с публичной личностью и репутацией; включён в справочники Privacy Guides и web3privacy. Tor onion-зеркало на dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion. Последняя проверка: 2026-05-13.

Useful when. Вы запускаете постоянную анонимную инфраструктуру — долгосрочный .onion-сервис, анонимный исследовательский рабочий процесс, многодневное расследование — где амнезия по умолчанию Tails потеряла бы вашу работу. Вы находитесь в модели угроз, где компрометация на уровне приложений является достоверным вектором атаки (сложная журналистика, активизм, исследование против слежки). Вы уже используете Qubes OS и хотите каноническую интеграцию слоя анонимности Qubes-Whonix. Вы хотите изоляцию потоков между приложениями, чтобы утечка в одном не деанонимизировала другое. Вы тестируете или разрабатываете инструменты анонимности и хотите контролируемую среду для их проверки. Вы хотите компартментализировать идентичности, запуская несколько Рабочих ВМ параллельно (одна для личной анонимной идентичности, одна для журналистской работы, одна для активизма и т.д.), использующих один Шлюз. Вы не удовлетворены анонимностью на уровне одного приложения (Tor Browser) и хотите сетевую изоляцию на уровне ОС.

Caveats. Более тяжёлая настройка, чем Tor Browser или Tails — требует VirtualBox или KVM, требует понимания двухвиртуальной архитектуры, требует управления ресурсами ВМ. При переходе от «просто установи Tor Browser» Whonix является значительным шагом вверх по сложности. Хостовая ОС — слабое звено — компартментализация Whonix защищает от компрометации на уровне приложений, но хостовая ОС (macOS, Windows, Linux), на которой работает VirtualBox, может видеть всё внутри ВМ. Для самой сильной защиты запускайте Whonix на Qubes OS, где изоляция гипервизора делает хост менее проблемным. Накладные расходы на производительность — запуск двух ВМ тяжелее, чем одной ОС; вы почувствуете это на слабом ноутбуке. Рекомендуется 8 ГБ+ ОЗУ и SSD для комфортной работы. Постоянство опционально для одних случаев использования, отключено для других — в отличие от Tails, Whonix по умолчанию сохраняет файлы; если вам нужна амнезия по умолчанию для определённых сессий, вы можете использовать Whonix-Live (амнезийный режим Whonix) или выключиться и вернуться с чистого снимка. VirtualBox требует нетривиального доверия к хосту — у Oracle VirtualBox исторически были уязвимости; для самой строгой модели угроз используйте KVM (нативный Linux) или Qubes OS (на основе Xen). Нет мобильной версии — Whonix только для десктопа; мобильные пользователи должны использовать Tor Browser для Android или Orbot + усиленный дистрибутив Android, такой как GrapheneOS. Начальная загрузка велика — образы ВМ по 1-2 ГБ каждый; первая установка через медленное соединение затруднительна. Не защищает от угроз физического доступа — Whonix только программный; если ваш ноутбук изъят и ВМ разблокированы, данные читаемы. Сочетайте с полнодисковым шифрованием (VeraCrypt или системное FDE) для защиты от физического доступа. Обновления требуют внимания — как любая ОС, Whonix нуждается в периодических обновлениях безопасности; оставаться на старой версии означает оставаться на старом Tor + старом Debian + старом браузере, всё это является реальной поверхностью атаки.