Porquê a VPN da Mullvad?
Se nos confiar a sua privacidade, esperamos que faça esta pergunta.
O que nos distingue
Conta anónima
Não pedimos nenhuma informação pessoal - nem mesmo o seu email - e encorajamos pagamentos anónimos com dinheiro ou criptomoeda.
Sem registos
A sua privacidade é sua, por isso que não registamos a sua atividade. O nosso objetivo de longo prazo é nem sequer guardar detalhes de pagamento.
Auditoria externa
Pedimos auditorias independentes à nossa app e infraestrutura, de modo a fornecer transparência e melhorar as nossas práticas de segurança.
Jurisdição segura
As leis que nos são aplicáveis enquanto fornecedores de VPN com sede na Suécia garantem que a nossa localização é segura tanto para nós como para a sua privacidade.
Kill switch integrado
Se tiver problemas de ligação enquanto o MullVAD VPN está ligado, o kill switch integrado interrompe automaticamente todo o tráfego de rede.
Sem avaliações pagas
Não pagamos por avaliações nem a afiliados, deixamos que o nosso histórico fale por si.
Equipa de apoio interna
Não enviamos os seus problemas para terceiros. A nossa equipa de apoio dedicada trabalha em conjunto com os programadores para lhe dar respostas de acordo com as exigências.
Pioneiros
Temos sido pioneiros constantes de muitas tecnologias e recursos de segurança que hoje são vistos como práticas padrão dos serviços VPN.
Configuração simples
Mesmo que seja cliente pela primeira vez, a nossa app é fácil de usar, para que possa continuar a proteger a sua privacidade.
Características
Windows | macOS | Linux | Android | iOS | |
|---|---|---|---|---|---|
Auditoria externa | ✔ | ✔ | ✔ | ✔ | ✔ |
O código é código aberto | ✔ | ✔ | ✔ | ✔ | ✔ |
Divisão do túnel | ✔ | ✔ | ✔ | ||
Servidor DNS personalizado | ✔ | ✔ | ✔ | ✔ | ✔ |
Multihopping | ✔ | ✔ | ✔ | ||
Proxy Shadowsocks | ✔ | ✔ | ✔ | ||
Relatório de problemas na app | ✔ | ✔ | ✔ | ✔ | ✔ |
Bloqueadores de conteúdo de DNS | ✔ | ✔ | ✔ | ✔ | ✔ |
Rotação automática de chave WireGuard | ✔ | ✔ | ✔ | ✔ | ✔ |
Túneis com resistência quântica | ✔ | ✔ | ✔ | ||
Os aspetos técnicos
Tem curiosidade em relação aos protocolos, primitivas e outros detalhes maravilhosamente técnicos que constituem a Mullvad VPN? Aqui tem!
Protocolos VPN na aplicação
Oferecemos suporte a dois protocolos para o túnel VPN, OpenVPN e WireGuard:
- Limitamos o OpenVPN ao TLS 1.3 (para o canal de controlo) e ao AES-256-GCM (para o canal de dados). Isto está implementado em OpenSSL.
- Para WireGuard, usamos a implementação padrão do kernel Linux, se disponível. Caso contrário, usamos wireguard-go.
Ligação API da aplicação
A app usa TLS 1.2 ou 1.3, implementada em Rustls*, para encriptar a comunicação com a API. Isto fornece duas funcionalidades:
- A ligação usa o pinning de certificado para evitar ataques MitM.
- Para contornar o spoofing de DNS, a app não usa DNS para obter o IP para a API.
Firewall e segurança da aplicação
A app impede fugas e permite a funcionalidade Kill Switch ao integrar com a firewall do sistema (WFP no Windows, NFTables no Linux e PF em macOS). Saiba mais na nossa página no GitHub
Arquitetura da aplicação
Para limitar a quantidade de código executado como utilizador privilegiado, a app está dividida em duas partes:
- front-ends sem privilégios (incluindo uma CLI))
- um serviço de sistema privilegiado que funciona em segundo plano e supervisiona túneis e segurança do dispositivo.
Servidores
Em todos os nossos servidores, especificámos configurações padrão e ordens de prioridade de encriptação, para fornecer a encriptação mais forte disponível para cada protocolo de túnel.
Servidores OpenVPN
Os nossos servidores OpenVPN têm as seguintes características:
- Certificados RSA de 4096-bits (com SHA512) usados para autenticação do servidor.
- Parâmetros Diffie-Hellman de 4096-bits usados para troca de chaves
- DHE usado para perfeito sigilo de encaminhamento.
- Para o canal de controlo é exigido no mínimo a versão 1.2 do TLS, com o TLS 1.3 disponível.
Nas versões mais recentes do OpenVPN Client, oferecemos as seguintes cifras, usadas na ordem especificada (a menos que o utilizador aplique uma configuração diferente):
- cifras de canal de controlo: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
- cifras de canal de dados: CHACHA20-POLY1305, AES-256-GCM.
- A criação de novas chaves ocorre a cada 60 minutos.
Servidores WireGuard
Wireguard é opinativo e oferece apenas um conjunto de primitivos criptográficos. Consulte o site da WireGuard para mais detalhes.
Servidores de ponte
As nossas pontes facilitam a ligação ao nosso site, à API e aos servidores OpenVPN e WireGuard em locais onde o acesso a eles está bloqueado. As nossas configurações dificultam ou tornam impossível aceder a tudo o que não esteja encriptado por elas, por isso o tipo de encriptação utilizado é pouco importante.
Bloqueio de servidor
Para protegermos os nossos clientes, nós próprios e a qualidade do nosso serviço, reservamos o direito de bloquear portas ou qualquer endereço IP. Bloqueamos o tráfego de saída em todos os momentos para as seguintes portas:
- porta 25 – para prevenir spam
- portas 137, 138, 139, 445 – para proteger os clientes de um problema de segurança Microsoft SMB/CIFS
- portas 1900 e 2869 – para proteger os clientes da configuração maliciosa da UPNP.