Whonix является операционной системой, распространяемой под лицензией GPLv3 и нацеленной на обеспечение анонимности, приватности и безопасности данных. В её основе лежит сеть анонимизации Tor, Debian GNU/Linux и безопасность за счёт изоляции потоков. Утечки DNS-запросов невозможны.
Whonix состоит из двух частей: первая обеспечивает соединение и работу Tor и действует как шлюз, поэтому и называется Whonix-Gateway. Вторая, именуемая Whonix-Workstation, находится в совершенно изолированной сети. Любые соединения возможны только через Tor. Таким образом, даже взломав Whonix-Workstation, атакующий получит лишь фальшивые сетевые параметры, а не реальный адрес пользователя, скрытый за шлюзом. Однако, поскольку обе части рассчитаны на запуск средствами виртуализации, а существующие платформы виртуализации могут сами по себе содержать уязвимости, рекомендуется запускать Workstation и Gateway на разных физических компьютерах. Если требуется анонимизировать сетевой доступ уже существующих компьютеров (независимо от установленной операционной системы), можно использовать лишь Whonix-Gateway.
Основные изменения:
Система разбита на отдельные пакеты, что упрощает установку различных сред рабочего стола. По умолчанию предлагается KDE. Вдобавок, Whonix больше не привязан к какой-либо версии Debian, поскольку каждый пакет имеет свою версию;
Добавлена экспериментальная поддержка операционной системы Qubes;
Добавлена возможность установки VPN в Whonix-Gateway;
Задействовано по умолчанию множество профилей AppArmor;
Обновлены пакеты из репозиториев Debian, что позволило закрыть различные уязвимости, в том числе Heartbleed;
Из-за ошибки в VirtualBox, приводящей к потере данных, больше не рекомендуется использовать снапшоты;
Во избежание конфликта с реальной сетью внутренний IP-адрес Whonix-Gateway и маска подсети изменены на 10.152.152.10 и 255.255.192.0;
По той же причине изменены адрес, маска и шлюз в Whonix-Workstation: 10.152.152.11, 255.255.192.0 и 10.152.152.10 соответственно;
Файл подкачки шифруется случайным паролем при запуске;
Сетевой экран шлюза теперь будет отбрасывать некорректные исходящие пакеты;
В стандартную поставку добавлен менеджер паролей fpm2;
Отключены временные метки TCP;
По умолчанию включен запрет любого входящего ICMP-трафика;
Небольшие изменения для совместимости с systemd;
Утилиты для установки пакетов будут предпочитать репозиторий Debian Wheezy вместо stable.