Man kann verschiedenste Levels an Sicherheit nutzen.

• Level 0: Windows
• Level 1: Das normale Surf- und Arbeite-OS. Da würde ich wirklich Ubuntu nutzen. Da wird das Meiste mitgeliefert und was noch nicht installiert ist, lässt sich leichter als bei anderen Distributionen nachziehen. Desweiteren lässt sich schnell eine neue Installation drüber bügeln, wenn man mal wieder Paranoia hat (mit Speck fängt man Mäuse). Vorausgesetzt man hat nicht allzu viel Mühe in die Konfiguration des Systems gesteckt.
• Level 2: Eine Distribution, welche sich auf Sicherheit konzentriert. Kann auch Ubuntu sein, sollte aber möglichst sauber gehalten werden. Die darf dann auch ins Internet, falls man sich bei Bank/Exchange/Whateveraccount einloggen muss oder wegen der Blockchain. Ohne Internet geht es ja nicht.
• Level 3: Eine Offline-Distribution, welche gar nicht erst ins Internet kann sodass man alles Offline machen MUSS.
• Level 4: Der Offline-Rechner mit der Offline-Distribution aus Level 3. Dieser Rechner sollte gekauft und leer gemacht werden, BIOS- und HD-Passwort sollten gesetzt werden (sollte man eigentlich immer machen), und dann, abhängig von der Distribution, kommt das Linux auf die HD oder man startet immer ein Live-System. Dieser Rechner sollte NIE Kontakt mit dem Internet haben!

Achtung: Live-Systeme und virtuelle Maschinen sind nicht geeignet für die Generierung von Passwörtern oder Privatekeys, da der Entropiepool schwach sein kann und somit die Zufallszahlen vorhersagbar werden (könnten).

Welches Linux klein und optimal für Deine Zwecke ist musst Du wohl selbst herausfinden ...