Причины выбрать Mullvad VPN
Мы знаем, что вас это будет интересовать, если вы решите доверить нам свою конфиденциальность.
Что отличает нас от других
Анонимные учетные записи
Мы не запрашиваем никакой личной информации — даже электронную почту — и поощряем анонимные платежи наличными и криптовалютой.
Отсутствие журналов активности
Вы имеете право на конфиденциальность, поэтому мы не ведем журналов активности. Наша долгосрочная цель — не хранить даже платежные реквизиты.
Независимый аудит
Мы запрашиваем регулярное проведение независимого аудита нашего приложения и инфраструктуры, чтобы гарантировать прозрачность и улучшить наши методы обеспечения безопасности.
Безопасная юрисдикция
Наш главный офис расположен в Швеции, а законы этой страны в отношении VPN-провайдеров защищают нас и вашу конфиденциальность.
Интегрированная функция аварийного отключения
Если во время работы Mullvad VPN у вас возникнут проблемы с подключением, встроенная функция аварийного отключения автоматически остановит весь сетевой трафик.
Никаких платных отзывов
Мы не используем платные отзывы и рекламу от аффилированных лиц. Результаты нашей деятельности говорят сами за себя.
Штатная служба поддержки
Мы не привлекаем сторонних подрядчиков для решения наших проблем. Наша служба поддержки ориентирована на помощь клиентам и работает совместно с разработчиками, чтобы максимально компетентно отвечать на ваши вопросы.
Пионеры VPN-технологий
Впервые внедренные нами технологии и функции безопасности раз за разом включаются в общепринятую практику VPN-сервисов.
Простая установка
Приложение легко устанавливать и использовать благодаря простому и понятному интерфейсу. Всего пара действий отделяет новых пользователей от полной конфиденциальности.
Возможности
Windows | macOS | Linux | Android | iOS | |
|---|---|---|---|---|---|
Независимый аудит | ✔ | ✔ | ✔ | ✔ | ✔ |
Открытый исходный код | ✔ | ✔ | ✔ | ✔ | ✔ |
Раздельное туннелирование. | ✔ | ✔ | ✔ | ||
Пользовательский DNS-сервер | ✔ | ✔ | ✔ | ✔ | ✔ |
Многократные переходы | ✔ | ✔ | ✔ | ||
Прокси Shadowsocks | ✔ | ✔ | ✔ | ||
Встроенные в приложение отчеты о проблемах | ✔ | ✔ | ✔ | ✔ | ✔ |
DNS-блокировщики контента | ✔ | ✔ | ✔ | ✔ | ✔ |
Автоматическая замена ключа WireGuard. | ✔ | ✔ | ✔ | ✔ | ✔ |
Квантово-устойчивые туннели | ✔ | ✔ | ✔ | ||
Технические моменты
Хотите больше узнать о протоколах, примитивах и других удивительно техничных деталях, на которых построен Mullvad VPN? Пожалуйста!
Протоколы VPN в приложении
Мы поддерживаем два протокола шифрования VPN-туннеля — OpenVPN и WireGuard:
- С OpenVPN используются криптографические протоколы TLS 1.3 (для канала управления) и AES-256-GCM (для канала данных). Всё это реализуется в OpenSSL.
- Для WireGuard используется стандартная реализация ядра Linux при наличии таковой, в противном случае — wireguard-go.
Подключения API в приложении
Для шифрования связи с API приложение использует протоколы TLS 1.2 или TLS 1.3, реализованные с помощью библиотеки Rustls*. Такой метод дает два следующих преимущества:
- соединение использует привязку сертификата для предотвращения атак MitM;
- чтобы обойти подмену DNS, приложение не использует DNS для получения IP-адреса для API.
Брандмауэр и обеспечении безопасности в приложении
Приложение предотвращает утечки и позволяет использовать функцию аварийного отключения благодаря интеграции с системным брандмауэром (WFP в Windows, nftables в Linux, PF в macOS). Подробнее — на нашей странице на GitHub
Архитектура приложения
Чтобы ограничить объем кода, выполняемого от имени привилегированного пользователя, приложение разделено на две части:
- непривилегированная клиентская часть приложения (в том числе CLI));
- привилегированная системная служба, которая работает в фоновом режиме и контролирует туннели и безопасность устройств.
Серверы
На всех наших серверах мы задали конфигурации по умолчанию и порядок приоритетов шифрования, чтобы обеспечить наиболее надежное шифрование для каждого протокола туннелирования.
Серверы OpenVPN
Характеристики наших OpenVPN-серверов:
- 4096-битные сертификаты RSA (с SHA512) для серверной аутентификации;
- 4096-битные параметры Диффи — Хеллмана для обмена ключами;
- DHE для обеспечения совершенной прямой секретности;
- минимальная версия криптографического протокола для канала управления — TLS 1.2, при этом также доступна TLS 1.3;
для последних версий клиента OpenVPN мы предлагаем следующие алгоритмы шифрования, используемые в указанном порядке (если пользователь не применяет другую конфигурацию):
- алгоритмы шифрования канала управления: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
- алгоритмы шифрования каналов передачи данных: CHACHA20-POLY1305, AES-256-GCM.
- ключи обновляются каждые 60 минут.
Серверы WireGuard
WireGuard консервативен и предлагает только один набор криптографических примитивов. Более подробная информация приведена на официальном сайте WireGuard.
Серверы-мосты
Блокирование доступа из определенных местоположений к нашему веб-сайту, API и серверам OpenVPN и WireGuard можно обойти с помощью мостов. Конфигурации наших систем затрудняют или делают невозможным доступ к незашифрованным данным через них, поэтому используемый тип шифрования не имеет большого значения.
Блокировка портов на серверах
Чтобы защитить себя, наших клиентов и качество наших услуг, мы оставляем за собой право блокировать любые IP-адреса или порты. Мы постоянно блокируем исходящий трафик следующих портов:
- порт 25 — для предотвращения спама;
- порты 137, 138, 139, 445 — для защиты клиентов от проблем безопасности Microsoft SMB/CIFS;
- порты 1900 и 2869 — для защиты клиентов от уязвимостей в наборе сетевых протоколов UPnP.