English Français

CITADEL

Subgraph OS

Informatique résistante aux adversaires

Fonctionnalités Télécharger

CITADEL

Subgraph OS

Informatique résistante aux adversaires

Fonctionnalités Télécharger

Informatique
pour un Internet hostile

Les systèmes d'exploitation traditionnels accumulent des dettes de sécurité au fil du temps. Chaque application installée, chaque mise à jour du système, chaque modification de configuration crée de nouvelles vulnérabilités qui persistent indéfiniment.

Citadel rompt totalement avec ce modèle. Conçu dès le départ pour les utilisateurs confrontés à des adversaires sophistiqués, il offre un isolement de haut niveau sans la complexité des systèmes traditionnels en air gap.

Fonctionnalités
principales

Base résistante à la falsification

Le système Citadel est totalement en lecture seule et protégé par le mécanisme d'intégrité dm-verity de Linux. Si un seul bit est modifié, le système ne démarre pas. Chaque redémarrage revient à un état propre vérifié cryptographiquement.

Espaces de travail partitionnés

Créez un nombre illimité de "realms" isolés pour différents projets, clients ou contextes de sécurité. Chaque realm fonctionne comme un environnement informatique totalement distinct avec ses propres applications et données. La compromission d’un realm n’affecte pas les autres.

Flux de travail transparent

Malgré cette architecture de sécurité, les applications de différents realms peuvent partager votre bureau. Des indicateurs visuels clairs distinguent chaque fenêtre, maintenant la conscience de la sécurité sans perturber le flux de travail.

Mises à jour atomiques

Le système d'exploitation de base est mis à jour en un seul blob binaire signé. Les mises à jour sont soit entièrement appliquées, soit totalement annulées.

Chaîne d'approvisionnement vérifiable

Chaque composant de Citadel est construit de manière reproductible à partir de sources connues. Ne faites pas confiance à nos binaires — vérifiez-les. Les chercheurs en sécurité indépendants peuvent compiler des binaires identiques à partir des mêmes sources, éliminant ainsi les attaques sur la chaîne d'approvisionnement.

Protection de l'intégrité

dm-verity garantit que le système d'exploitation de base ne démarrera pas s'il a été modifié. La vérification cryptographique protège contre toute modification.

Défense en profondeur

Le modèle de sécurité de Citadel repose sur le principe que chaque couche doit être vérifiable et sécurisée de manière indépendante.

Couche de base:
Citadel Base

Le noyau minimal et immuable qui fournit uniquement les services essentiels : noyau, système d'initialisation et affichage graphique. Aucune application utilisateur, aucune donnée persistante, aucun dérive de configuration. Protégé par vérification d'intégrité cryptographique.

Couche d'isolement:
Hyperviseur ou moteur de conteneur

es realms basés sur des conteneurs offrent des performances quasi natives pour les charges de travail fiables. Les realms basés sur un hyperviseur offrent un isolement matériel pour des activités à haut risque telles que l'analyse de logiciels malveillants.

Couche applicative:
Realms utilisateur

Des environnements informatiques totalement isolés où votre travail s'effectue réellement. Chaque realm n'accède qu'à ses propres données. Les applications sont en lecture seule par défaut. Seules les données utilisateur persistent après un redémarrage.

Captures d'écran

Voyez Subgraph OS en action

Screenshot 1 Screenshot 2

Pour qui?

Conçu pour les utilisateurs qui exigent les plus hauts niveaux de sécurité et d'isolement

Administrateurs
système

Points d’accès sécurisés pour les utilisateurs privilégiés exposés à des attaques ciblées

Développeurs
de logiciels

Environnements de développement isolés sans contamination croisée

Chercheurs
en sécurité

Environnements d’analyse sécurisés pour la recherche de logiciels malveillants et de vulnérabilités

Services
financiers

Postes de travail sécurisés pour exécuter des transactions financières sensibles

Gouvernement

Informatique compartimentée pour les opérations classifiées et sensibles

Systèmes
embarqués

Informatique sécurisée pour les véhicules, les bornes interactives et le matériel spécialisé

Sécurité
par conception

0 Données
persistantes de base
100% Builds
reproductibles
Realms
isolés

Spécifications
techniques

Exigences minimales

Distribution de base
Construction Linux personnalisée (pas dérivée)
Sources des paquets
Dépôts officiels en amont
Système d'initialisation
systemd
Serveur d'affichage
Wayland
Environnement de bureau
GNOME Shell
Protection du système de fichiers
Vérification d'intégrité dm-verity
Mécanisme de mise à jour
Blobs binaires signés de manière atomique

Isolement des realms

Moteur de conteneurs
Linux namespaces + cgroups
Hyperviseur
Implémentation Rust developpé par Subgraph
Noyaux invités
Linux modifié avec surface d'attaque réduite
Filtrage des appels système
seccomp-bpf
Isolation réseau
Réseaux virtuels par realm
Isolation du système de fichiers
Espaces de montage séparés
Isolation des processus
Espaces de noms PID + espaces de noms utilisateur

Système de build

Reproductibilité des builds
100% reproductible à partir des sources
Vérification des sources
Vérification cryptographique des signatures
Environnement de build
Conteneurs isolés et déterministes
Chaîne d'outils
GCC/Clang avec options de renforcement
Vérification des binaires
Vérification indépendante possible
Chaîne d'approvisionnement
Directement à partir des dépôts officiels en amont

Fonctionnalités de sécurité

Sécurité au démarrage
Démarrage sécurisé UEFI
Renforcement du noyau
KASLR, SMEP, SMAP, Intégrité du flux de contrôle
Protection de la mémoire
ASLR, canaris de pile, protection du tas
Sécurité du compilateur
Stack protector, fortify source, PIE
Protection à l'exécution
Intégration SELinux/AppArmor
Cryptographie
Prise en charge de l'accélération matérielle de la cryptographie

Exigences minimales

CPU
Processeur
x86_64 avec virtualisation
Intel VT-x ou AMD-V
2+ cœurs recommandés
RAM
Mémoire
8Go minimum
16 Go recommandés
32 Go pour plusieurs realms
SSD
Stockage
32Go minimum
128 Go recommandés
NVMe pour des performances optimales

Compatibilité Matérielle

Fonctionnalité
Conteneur
Hyperviseur
Intel VT-x
Requis
AMD-V
Requis
IOMMU
Optional
Recommandé
TPM 2.0
Démarrage sécurisé UEFI
Requis
Requis
Accélération graphique
Natif
Limité

Fonctionnalités de sécurité

Intégrité du système de fichiers

dm-verity fournit une vérification cryptographique de chaque bloc dans le système de fichiers de base. Toute altération empêche le démarrage, garantissant un état initial propre.

Isolation des realms

Isolation complète des processus, des réseaux et des systèmes de fichiers entre les realms à l'aide des espaces de noms du noyau ou de la virtualisation matérielle.

Base immuable

Le système Citadel de base est monté en lecture seule. Pas de dérive de configuration, pas de malware persistant, pas de dette de sécurité accumulée.

Chaîne de démarrage vérifiée

Le démarrage sécurisé UEFI via le chargement du noyau garantit que seul le code signé cryptographiquement s'exécute au démarrage.

Builds reproductibles

Chaque binaire peut être vérifié de manière indépendante pour correspondre au code source annoncé, éliminant ainsi tout compromis de la chaîne d'approvisionnement.

Sécurité matérielle

Intégration TPM pour le stockage sécurisé des clés cryptographiques et l'attestation. Génération de nombres aléatoires par le matériel pour une forte entropie.

Fièrement développé à

Montréal, Québec, Canada

Fièrement open source.

Contactez-nous

Nous aimerions avoir de vos nouvelles. Veuillez nous envoyer un courriel à info@subgraph.com.