Porquê a VPN da Mullvad?
Colocamos a sua privacidade em primeiro lugar desde 2009. Deixe-nos apresentar-lhe o que obtém com a Mullvad VPN.
O que nos distingue
Conta anónima
Não pedimos nenhuma informação pessoal - nem mesmo o seu email - e encorajamos pagamentos anónimos com dinheiro ou criptomoeda.
Sem registos
A sua privacidade é sua, por isso que não registamos a sua atividade. O nosso objetivo de longo prazo é nem sequer guardar detalhes de pagamento.
Auditoria externa
Pedimos auditorias independentes à nossa app e infraestrutura, de modo a fornecer transparência e melhorar as nossas práticas de segurança.
Jurisdição segura
As leis que nos são aplicáveis enquanto fornecedores de VPN com sede na Suécia garantem que a nossa localização é segura tanto para nós como para a sua privacidade.
Kill switch integrado
Se tiver problemas de ligação enquanto o MullVAD VPN está ligado, o kill switch integrado interrompe automaticamente todo o tráfego de rede.
Sem avaliações pagas
Não pagamos por avaliações nem a afiliados, deixamos que o nosso histórico fale por si.
Equipa de apoio interna
Não subcontratamos o nosso apoio. A nossa equipa de apoio dedicada trabalha em estreita colaboração com os programadores para responder às suas perguntas.
Pioneiros
Somos pioneiros em muitas tecnologias e funcionalidades de segurança que são consideradas prática corrente. Também trabalhamos em estreita colaboração com universidades.
Combate a análise de tráfego
Mesmo que encripte o seu tráfego com uma VPN, ainda existe o risco de o seu tráfego poder ser analisado. É por isso que desenvolvemos a DAITA (Defense Against AI-guided Traffic Analysis).
Túneis VPN com resistência quântica
Pode escolher túneis VPN com resistência quântica em todas as nossas plataformas suportadas. Caso os futuros computadores quânticos consigam quebrar a encriptação atual.
Consultas DNS através de um túnel encriptado
Quando utiliza o Mullvad VPN, todas as suas consultas DNS (onde os endereços dos sites são convertidos em endereços IP) passam através do túnel VPN encriptado.
Multihop
Com a nossa funcionalidade multihop, pode encaminhar o seu tráfego através de dois ou mais servidores em locais e jurisdições diferentes.
Características
Windows | macOS | Linux | Android | iOS | |
|---|---|---|---|---|---|
Auditoria externa | ✔ | ✔ | ✔ | ✔ | ✔ |
O código é código aberto | ✔ | ✔ | ✔ | ✔ | ✔ |
Divisão do túnel | ✔ | ✔ | ✔ | ✔ | |
Servidor DNS personalizado | ✔ | ✔ | ✔ | ✔ | ✔ |
Multihop | ✔ | ✔ | ✔ | ✔ | ✔ |
OpenVPN sobre Shadowsocks | ✔ | ✔ | ✔ | ||
WireGuard sobre QUIC | ✔ | ✔ | ✔ | ✔ | ✔ |
WireGuard sobre Shadowsocks | ✔ | ✔ | ✔ | ✔ | ✔ |
WireGuard sobre TCP | ✔ | ✔ | ✔ | ✔ | ✔ |
Rotação automática de chave WireGuard | ✔ | ✔ | ✔ | ✔ | ✔ |
Relatório de problemas na app | ✔ | ✔ | ✔ | ✔ | ✔ |
Bloqueadores de conteúdo de DNS | ✔ | ✔ | ✔ | ✔ | ✔ |
Túneis com resistência quântica | ✔ | ✔ | ✔ | ✔ | ✔ |
DAITA | ✔ | ✔ | ✔ | ✔ | ✔ |
| |||||
Os aspetos técnicos
Tem curiosidade sobre protocolos, primitivas e outros detalhes que constituem a Mullvad VPN? Aqui tem!
Protocolos VPN na aplicação
Oferecemos suporte a dois protocolos para o túnel VPN, OpenVPN e WireGuard:
- Limitamos o OpenVPN ao TLS 1.3 (para o canal de controlo) e ao AES-256-GCM (para o canal de dados). Isto está implementado em OpenSSL.
- Para WireGuard, usamos a implementação padrão do kernel Linux, se disponível. Caso contrário, usamos wireguard-go.
Ligação API da aplicação
A app usa TLS 1.3, implementada em Rustls, para encriptar a comunicação com a API. Isto fornece duas funcionalidades:
- A ligação usa o pinning de certificado para evitar ataques MitM.
- Para contornar o spoofing de DNS, a app não usa DNS para obter o IP para a API.
Firewall e segurança da aplicação
A app impede fugas e permite a funcionalidade Kill Switch ao integrar com a firewall do sistema (WFP no Windows, NFTables no Linux e PF em macOS). Saiba mais na nossa página no GitHub
Arquitetura da aplicação
Para limitar a quantidade de código executado como utilizador privilegiado, a app está dividida em duas partes:
- front-ends sem privilégios (incluindo uma CLI)
- um serviço de sistema privilegiado que funciona em segundo plano e supervisiona túneis e segurança do dispositivo.
Servidores
Em todos os nossos servidores, especificámos configurações padrão e ordens de prioridade de encriptação, para fornecer a encriptação mais forte disponível para cada protocolo de túnel.
Servidores OpenVPN
Os nossos servidores OpenVPN têm as seguintes características:
- Certificados RSA de 4096-bits (com SHA512) usados para autenticação do servidor.
- Parâmetros Diffie-Hellman de 4096-bits usados para troca de chaves
- DHE usado para perfeito sigilo de encaminhamento.
- Para o canal de controlo é exigido no mínimo a versão 1.2 do TLS, com o TLS 1.3 disponível.
Nas versões mais recentes do OpenVPN Client, oferecemos as seguintes cifras, usadas na ordem especificada (a menos que o utilizador aplique uma configuração diferente):
- cifras de canal de controlo: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
- cifras de canal de dados: CHACHA20-POLY1305, AES-256-GCM.
- A criação de novas chaves ocorre a cada 60 minutos.
Servidores WireGuard
Wireguard é opinativo e oferece apenas um conjunto de primitivos criptográficos. Consulte o site da WireGuard para mais detalhes.
Servidores de ponte
As nossas pontes facilitam a ligação ao nosso site, à API e aos servidores OpenVPN e WireGuard em locais onde o acesso a eles está bloqueado. As nossas configurações dificultam ou tornam impossível aceder a tudo o que não esteja encriptado por elas, por isso o tipo de encriptação utilizado é pouco importante.
Bloqueio de servidor
Para protegermos os nossos clientes, nós próprios e a qualidade do nosso serviço, reservamos o direito de bloquear portas ou qualquer endereço IP. Bloqueamos o tráfego de saída em todos os momentos para as seguintes portas:
- porta 25 – para prevenir spam
- portas 137, 138, 139, 445 – para proteger os clientes de um problema de segurança Microsoft SMB/CIFS
- portas 1900 e 2869 – para proteger os clientes da configuração maliciosa da UPNP.