Saltar para o conteúdo principal

Porquê a VPN da Mullvad?

Colocamos a sua privacidade em primeiro lugar desde 2009. Deixe-nos apresentar-lhe o que obtém com a Mullvad VPN.

Two mobile phones using Mullvad VPN

Conta anónima

Não pedimos nenhuma informação pessoal - nem mesmo o seu email - e encorajamos pagamentos anónimos com dinheiro ou criptomoeda.

Sem registos

A sua privacidade é sua, por isso que não registamos a sua atividade. O nosso objetivo de longo prazo é nem sequer guardar detalhes de pagamento.

Auditoria externa

Pedimos auditorias independentes à nossa app e infraestrutura, de modo a fornecer transparência e melhorar as nossas práticas de segurança.

Jurisdição segura

As leis que nos são aplicáveis enquanto fornecedores de VPN com sede na Suécia garantem que a nossa localização é segura tanto para nós como para a sua privacidade.

Kill switch integrado

Se tiver problemas de ligação enquanto o MullVAD VPN está ligado, o kill switch integrado interrompe automaticamente todo o tráfego de rede.

Sem avaliações pagas

Não pagamos por avaliações nem a afiliados, deixamos que o nosso histórico fale por si.

Equipa de apoio interna

Não subcontratamos o nosso apoio. A nossa equipa de apoio dedicada trabalha em estreita colaboração com os programadores para responder às suas perguntas.

Pioneiros

Somos pioneiros em muitas tecnologias e funcionalidades de segurança que são consideradas prática corrente. Também trabalhamos em estreita colaboração com universidades.

Combate a análise de tráfego

Mesmo que encripte o seu tráfego com uma VPN, ainda existe o risco de o seu tráfego poder ser analisado. É por isso que desenvolvemos a DAITA (Defense Against AI-guided Traffic Analysis).

Túneis VPN com resistência quântica

Pode escolher túneis VPN com resistência quântica em todas as nossas plataformas suportadas. Caso os futuros computadores quânticos consigam quebrar a encriptação atual.

Consultas DNS através de um túnel encriptado

Quando utiliza o Mullvad VPN, todas as suas consultas DNS (onde os endereços dos sites são convertidos em endereços IP) passam através do túnel VPN encriptado.

Multihop

Com a nossa funcionalidade multihop, pode encaminhar o seu tráfego através de dois ou mais servidores em locais e jurisdições diferentes.

Características

Windows

macOS

Linux

Android

iOS

Auditoria externa

O código é código aberto

Divisão do túnel

Servidor DNS personalizado

Multihop

OpenVPN over Shadowsocks

WireGuard over Shadowsocks

WireGuard sobre TCP

Rotação automática de chave WireGuard

Relatório de problemas na app

Bloqueadores de conteúdo de DNS

Túneis com resistência quântica

DAITA

  1. O túnel dividido só está disponível no macOS 13 e posterior
Laptop with Mullvad connected

Os aspetos técnicos

Tem curiosidade sobre protocolos, primitivas e outros detalhes que constituem a Mullvad VPN? Aqui tem!

Protocolos VPN na aplicação

Oferecemos suporte a dois protocolos para o túnel VPN, OpenVPN e WireGuard:

  • Limitamos o OpenVPN ao TLS 1.3 (para o canal de controlo) e ao AES-256-GCM (para o canal de dados). Isto está implementado em OpenSSL.
  • Para WireGuard, usamos a implementação padrão do kernel Linux, se disponível. Caso contrário, usamos wireguard-go.

Ligação API da aplicação

A app usa TLS 1.2 ou 1.3, implementada em Rustls*, para encriptar a comunicação com a API. Isto fornece duas funcionalidades:

  • A ligação usa o pinning de certificado para evitar ataques MitM.
  • Para contornar o spoofing de DNS, a app não usa DNS para obter o IP para a API.
*No iOS, é usado o TLS padrão compatível com URLSession

Firewall e segurança da aplicação

A app impede fugas e permite a funcionalidade Kill Switch ao integrar com a firewall do sistema (WFP no Windows, NFTables no Linux e PF em macOS). Saiba mais na nossa página no GitHub

Arquitetura da aplicação

Para limitar a quantidade de código executado como utilizador privilegiado, a app está dividida em duas partes:

  • front-ends sem privilégios (incluindo uma CLI))
  • um serviço de sistema privilegiado que funciona em segundo plano e supervisiona túneis e segurança do dispositivo.
Saiba mais na nossa página no GitHub

Servidores

Em todos os nossos servidores, especificámos configurações padrão e ordens de prioridade de encriptação, para fornecer a encriptação mais forte disponível para cada protocolo de túnel.

Servidores OpenVPN

Os nossos servidores OpenVPN têm as seguintes características:

  • Certificados RSA de 4096-bits (com SHA512) usados para autenticação do servidor.
  • Parâmetros Diffie-Hellman de 4096-bits usados para troca de chaves
  • DHE usado para perfeito sigilo de encaminhamento.
  • Para o canal de controlo é exigido no mínimo a versão 1.2 do TLS, com o TLS 1.3 disponível.
  • Nas versões mais recentes do OpenVPN Client, oferecemos as seguintes cifras, usadas na ordem especificada (a menos que o utilizador aplique uma configuração diferente):

    • cifras de canal de controlo: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • cifras de canal de dados: CHACHA20-POLY1305, AES-256-GCM.
  • A criação de novas chaves ocorre a cada 60 minutos.

Servidores WireGuard

Wireguard é opinativo e oferece apenas um conjunto de primitivos criptográficos. Consulte o site da WireGuard para mais detalhes.

Servidores de ponte

As nossas pontes facilitam a ligação ao nosso site, à API e aos servidores OpenVPN e WireGuard em locais onde o acesso a eles está bloqueado. As nossas configurações dificultam ou tornam impossível aceder a tudo o que não esteja encriptado por elas, por isso o tipo de encriptação utilizado é pouco importante.

Bloqueio de servidor

Para protegermos os nossos clientes, nós próprios e a qualidade do nosso serviço, reservamos o direito de bloquear portas ou qualquer endereço IP. Bloqueamos o tráfego de saída em todos os momentos para as seguintes portas:

  • porta 25 – para prevenir spam
  • portas 137, 138, 139, 445 – para proteger os clientes de um problema de segurança Microsoft SMB/CIFS
  • portas 1900 e 2869 – para proteger os clientes da configuração maliciosa da UPNP.