技術情報
Mullvad VPN に使用されているプロトコル、プリミティブ、その他の情報に興味がありますか? ご説明します!
アプリのVPNプロトコル
私たちはVPNトンネル用の2つのプロトコル、OpenVPNとWireGuardをサポートしています:
- OpenVPNでは、TLS 1.3(制御チャネル用)とAES-256-GCM(データチャネル用)のみを使用しています。 これは、OpenSSLに実装されています。
- WireGuardに関しては、可能な場合に標準的なLinuxカーネルを実装しています。 可能でない場合は、wireguard-goを使用しています。
アプリのAPI接続
このアプリはRustls*で実装されたTLS 1.2または1.3を使用して、APIとの通信を暗号化しています。 これにより、次の2つの機能を提供しています:
- 接続には証明書のピン留めを使用し、中間者攻撃を防いでいます。
- DNSスプーフィングを回避するため、このアプリではAPIのIP取得にDNSを使用していません。
*iOSではURLSessionがサポートするデフォルトのTLSが使用されます アプリのファイアウォールとセキュリティ
このアプリはシステムのファイアウォール(WindowsのWFP、Linuxのnftables、macOSのPF)と統合することで、漏洩の防止とキルイッチ機能の有効化を行っています。 詳細は当社のGitHubページをご覧ください
アプリのアーキテクチャ
特権ユーザーとして実行されるコードの量を減らすため、このアプリは次のような2つの部分に分かれています:
- 特権のないフロントエンド(CLI)を含む)
- バックグラウンドで実行され、トンネルとデバイスのセキュリティを監視する特権システムサービス。
詳細は当社のGitHubページをご覧ください サーバー
当社の全サーバーで暗号化のデフォルト構成と優先順位を指定し、各トンネルプロトコルで利用できる最強の暗号化を提供しています。
OpenVPN サーバー
当社のOpenVPNサーバーには次のような特徴があります:
WireGuard サーバー
WireGuardは保守的であり、暗号プリミティブセットを1つだけ提供しています。 詳細は、WireGuardのウェブサイトを参照してください。
ブリッジサーバー
当社のブリッジは、当社のウェブサイトとAPIのほか、アクセスがブロックされている拠点にあるOpenVPNおよびWireGuardサーバーへの接続を容易にします。 当社の構成ではブリッジを通して暗号化されていないものにアクセスすることは困難または不可能であるため、使用される暗号化の種類は実際には重要ではありません。
サーバーのブロック
当社は、当社自身とお客様を保護し、サービスの品質を維持する目的で任意のIPアドレスとポートをブロックする権利を有します。 次に挙げるポートへの外向きのトラフィックは常にブロックされます:
- ポート25 – 迷惑メール防止のため
- ポート137、138、139、445 – お客様をMicrosoft SMB/CIFSのセキュリティ問題から保護するため
- ポート1900、2869 – お客様を不審なUPnP構成から保護するため