Warum Mullvad-VPN?
Seit 2009 steht Ihr Datenschutz bei uns an erster Stelle. Wir zeigen Ihnen, was Mullvad VPN zu bieten hat.
Was uns von unserer Konkurrenz unterscheidet
Anonymes Konto
Wir fragen nach keinen persönlichen Informationen – nicht einmal nach Ihrer E-Mail-Adresse – und wir unterstützen anonyme Zahlung per Bargeld oder Kryptowährung.
Kein Logging
Ihre Privatsphäre ist uns wichtig. Deshalb zeichnen wir Ihre Aktivitäten nicht auf. Unser Langzeitziel ist es, künftig auch keine Zahlungsinformationen zu speichern.
Extern kontrolliert
Wir fordern unabhängige Kontrollen von unserer App und Infrastruktur an, um Transparenz anzubieten und unsere Sicherheitsvorkehrungen zu verbessern.
Sichere Rechtsprechung
Die Gesetze, die für uns als VPN-Anbieter aus Schweden wichtig sind, machen unseren Standort sicher für uns und Ihren Datenschutz.
Eingebauter Killswitch
Der eingebaute Killswitch wird jeglichen Netzverkehr blockieren, wenn Sie Verbindungsschwierigkeiten haben, während Mullvad VPN aktiv ist.
Keine erkauften Rezensionen
Wir halten uns von gekauften Rezensionen und Partnern fern und lassen unsere Erfolgsbilanz für sich sprechen.
Firmeninternes Support Team
Wir lagern unseren Support nicht aus. Unser engagiertes Support-Team arbeitet mit unseren Entwicklern zusammen, um Ihre Fragen zu beantworten.
Wegbereiter
Wir haben bei der Entwicklung vieler Technologien und Sicherheitsfunktionen, die heute als Standardverfahren gelten, Pionierarbeit geleistet. Wir arbeiten auch eng mit Universitäten zusammen.
Bekämpft Traffic-Analysen
Selbst wenn Sie Ihren Traffic mit einem VPN verschlüsseln, besteht immer noch das Risiko, dass Ihr Traffic analysiert werden kann. Aus diesem Grund haben wir DAITA (Defense Against AI-guided Traffic Analysis) entwickelt.
Quantenresistente VPN-Tunnel
Sie können auf allen unseren unterstützten Plattformen quantenresistente VPN-Tunnel wählen. Für den Fall, dass es zukünftigen Quantencomputern gelingt, die heutige Verschlüsselung zu knacken.
DNS-Abfragen über verschlüsselten Tunnel
Wenn Sie Mullvad VPN verwenden, werden alle Ihre DNS-Abfragen (bei denen Website-Adressen in IP-Adressen umgewandelt werden) durch den verschlüsselten VPN-Tunnel geleitet.
Multihop
Mit unserer Multihop-Funktion können Sie Ihren Datenverkehr über zwei oder mehr Server an verschiedenen Standorten und in unterschiedlichen Gerichtsbarkeiten leiten.
Features
Windows | macOS | Linux | Android | iOS | |
|---|---|---|---|---|---|
Extern kontrolliert | ✔ | ✔ | ✔ | ✔ | ✔ |
Open Source Code | ✔ | ✔ | ✔ | ✔ | ✔ |
Split Tunneling | ✔ | ✔ | ✔ | ✔ | |
Eigener DNS-Server | ✔ | ✔ | ✔ | ✔ | ✔ |
Multihop | ✔ | ✔ | ✔ | ✔ | ✔ |
OpenVPN über Shadowsocks | ✔ | ✔ | ✔ | ||
WireGuard über QUIC | ✔ | ✔ | ✔ | ✔ | ✔ |
WireGuard über Shadowsocks | ✔ | ✔ | ✔ | ✔ | ✔ |
WireGuard über TCP | ✔ | ✔ | ✔ | ✔ | ✔ |
Automatische Rotation von WireGuard-Schlüsseln | ✔ | ✔ | ✔ | ✔ | ✔ |
Fehlerberichterstattung in der App | ✔ | ✔ | ✔ | ✔ | ✔ |
DNS-Inhaltssperren | ✔ | ✔ | ✔ | ✔ | ✔ |
Quantenresistente Tunnel | ✔ | ✔ | ✔ | ✔ | ✔ |
DAITA | ✔ | ✔ | ✔ | ✔ | ✔ |
| |||||
Die technischen Einzelheiten
Interessieren Sie sich für die Protokolle, Primitive und andere Einzelheiten, auf denen Mullvad VPN aufgebaut ist? Hier, bitteschön!
VPN-Protokolle in der App
Wir unterstützen zwei Protokolle für die VPN-Tunnel – OpenVPN und WireGuard:
- Wir begrenzen OpenVPN auf TLS 1.3 (für den Kontrollkanal) und AES-256-GCM (für den Datenkanal). Dies ist in OpenSSL implementiert.
- Für Wireguard benutzen wir die Standard Linux-Kernel-Implementierung, sofern verfügbar. Andernfalls verwenden wir Wireguard-Go.
App API-Verbindung
Die App verwendet TLS 1.3, implementiert in Rustls, um die Kommunikation mit der API zu verschlüsseln. Dies hat zwei Funktionen:
- Die Verbindung verwendet Certificate Pinning um MitM-Angriffe zu verhindern.
- Zur Vermeidung von DNS-Spoofing verwendet die App kein DNS, um die IP für die API zu erhalten.
App-Firewall und Sicherheit
Die App verhindert Leaks und ermöglicht die Killswitch-Funktion, indem sie sich in die Firewall des Systems integriert (WFP in Windows, nftables in Linux und PF in macOS). Erfahren Sie auf unserer GitHub Seite mehr
App-Architektur
Um die Menge an Code zu begrenzen, der als privilegierter Nutzer läuft, ist die App in zwei Teile geteilt:
- unprivilegierte Front-Ends (inklusive CLI)
- ein privilegierter Systemdienst, welcher im Hintergrund läuft und die Tunnel und Gerätesicherheit überwacht.
Server
Wir haben in allen unseren Servern eine Standardkonfiguration und Prioritätsreihenfolge zur Verschlüsselung definiert, um die stärkstmögliche verfügbare Verschlüsselung für jedes Tunnelprotokoll zu bieten.
OpenVPN-Server
Unsere OpenVPN-Server haben die folgenden Eigenschaften:
- Für die Serverauthentifizierung werden 4096-Bit RSA-Zertifikate (mit SHA512) verwendet.
- Für den Schlüsselaustausch werden 4096-Bit Diffie-Hellman-Parameter verwendet
- Für Perfect Forward Secrecy wird DHE verwendet.
- Eine minimale TLS Version von 1.2 wird für den Kontrollkanal erzwungen – auch TLS 1.3 ist verfügbar.
Für die neusten OpenVPN-Clientversionen bieten wir die folgenden Chiffren, die in der angegebenen Reihenfolge verwendet werden (solange der Benutzer keine andere Konfiguration anwendet):
- Chiffren für den Kontrollkanal: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
- Chiffren für den Datenkanal: CHACHA20-POLY1305, AES-256-GCM.
- Alle 60 Minuten wird ein Re-keying durchgeführt.
WireGuard-Server
WireGuard ist dogmatisch und bietet nur einen Satz kryptografischer Primitiven. Besuchen Sie die WireGuard Website für weitere Informationen.
Brückenserver
Unsere Brücken vereinfachen die Verbindung mit unserer Website, API, OpenVPN und WireGuard-Servern an Orten, wo der Zugriff auf diese blockiert ist. Unsere Konfiguration macht es schwer bis unmöglich, darüber auf etwas Unverschlüsseltes zuzugreifen. Deshalb ist die Art der Verschlüsselung nicht sonderlich wichtig.
Serverblockierung
Um uns, unsere Kunden und die Qualität unseres Dienstes zu beschützen, behalten wir uns das Recht vor, jegliche IP-Adressen oder Ports zu blockieren. Wir blocken zu jeder Zeit ausgehenden Verkehr auf den folgenden Ports:
- Port 25 – zum Verhindern von Spam
- Ports 137, 138, 139, 445 – um Kunden vor einer Microsoft SMB/CIFS Sicherheitslücke zu beschützen
- Ports 1900 und 2869 – um Kunden vor schädlichen UPnP Konfigurationen zu schützen.