Перейти к основному содержанию

Причины выбрать Mullvad VPN

Мы заботимся о вашей конфиденциальности с 2009 года. Узнайте подробнее о возможностях Mullvad VPN.

Two mobile phones using Mullvad VPN

Анонимные учетные записи

Мы не запрашиваем никакой личной информации — даже электронную почту — и поощряем анонимные платежи наличными и криптовалютой.

Отсутствие журналов активности

Вы имеете право на конфиденциальность, поэтому мы не ведем журналов активности. Наша долгосрочная цель — не хранить даже платежные реквизиты.

Независимый аудит

Мы запрашиваем регулярное проведение независимого аудита нашего приложения и инфраструктуры, чтобы гарантировать прозрачность и улучшить наши методы обеспечения безопасности.

Безопасная юрисдикция

Наш главный офис расположен в Швеции, а законы этой страны в отношении VPN-провайдеров защищают нас и вашу конфиденциальность.

Интегрированная функция аварийного отключения

Если во время работы Mullvad VPN у вас возникнут проблемы с подключением, встроенная функция аварийного отключения автоматически остановит весь сетевой трафик.

Никаких платных отзывов

Мы не используем платные отзывы и рекламу от аффилированных лиц. Результаты нашей деятельности говорят сами за себя.

Штатная служба поддержки

Мы не передаем поддержку на аутсорсинг. Наша специальная команда поддержки работает вместе с разработчиками, чтобы отвечать на ваши вопросы.

Лидеры в отрасли

Мы первыми начали внедрять многие технологии и средства защиты, которые сегодня считаются стандартной практикой. Мы также тесно сотрудничаем с университетами.

Противодействие анализу трафика

Даже если вы шифруете свой трафик с помощью VPN, все равно существует риск, что ваш трафик могут проанализировать. Именно поэтому мы разработали DAITA (Defense Against AI-guided Traffic Analysis) — защиту от ИИ-анализа трафика.

Квантово-устойчивые VPN-туннели

Вы можете выбрать квантово-устойчивые VPN-туннели на всех поддерживаемых нами платформах. Это мера защиты на случай, если будущим квантовым компьютерам удастся взломать сегодняшнее шифрование.

DNS-запросы через зашифрованный туннель

Когда вы используете Mullvad VPN, все ваши DNS-запросы (с помощью которых адреса сайтов преобразуются в IP-адреса) будут проходить через зашифрованный VPN-туннель.

Многократный переход

С помощью нашей функции многократного перехода вы можете направлять трафик через два или более серверов, расположенных в разных местах и в разных юрисдикциях.

Возможности

Windows

macOS

Linux

Android

iOS

Независимый аудит

Открытый исходный код

Раздельное туннелирование.

Пользовательский DNS-сервер

Многократный переход

OpenVPN over Shadowsocks

WireGuard over Shadowsocks

WireGuard через TCP

Автоматическая замена ключа WireGuard.

Встроенные в приложение отчеты о проблемах

DNS-блокировщики контента

Квантово-устойчивые туннели

DAITA

  1. Раздельное туннелирование доступно только в macOS 13 и более поздних версиях
Laptop with Mullvad connected

Технические моменты

Хотите больше узнать о протоколах, примитивах и других деталях, на которых построен Mullvad VPN? Пожалуйста!

Протоколы VPN в приложении

Мы поддерживаем два протокола шифрования VPN-туннеля — OpenVPN и WireGuard:

  • С OpenVPN используются криптографические протоколы TLS 1.3 (для канала управления) и AES-256-GCM (для канала данных). Всё это реализуется в OpenSSL.
  • Для WireGuard используется стандартная реализация ядра Linux при наличии таковой, в противном случае — wireguard-go.

Подключения API в приложении

Для шифрования связи с API приложение использует протоколы TLS 1.2 или TLS 1.3, реализованные с помощью библиотеки Rustls*. Такой метод дает два следующих преимущества:

  • соединение использует привязку сертификата для предотвращения атак MitM;
  • чтобы обойти подмену DNS, приложение не использует DNS для получения IP-адреса для API.
*В iOS используется протокол TLS по умолчанию, поддерживаемый URLSession

Брандмауэр и обеспечении безопасности в приложении

Приложение предотвращает утечки и позволяет использовать функцию аварийного отключения благодаря интеграции с системным брандмауэром (WFP в Windows, nftables в Linux, PF в macOS). Подробнее — на нашей странице на GitHub

Архитектура приложения

Чтобы ограничить объем кода, выполняемого от имени привилегированного пользователя, приложение разделено на две части:

  • непривилегированная клиентская часть приложения (в том числе CLI));
  • привилегированная системная служба, которая работает в фоновом режиме и контролирует туннели и безопасность устройств.
Подробнее — на нашей странице на GitHub

Серверы

На всех наших серверах мы задали конфигурации по умолчанию и порядок приоритетов шифрования, чтобы обеспечить наиболее надежное шифрование для каждого протокола туннелирования.

Серверы OpenVPN

Характеристики наших OpenVPN-серверов:

  • 4096-битные сертификаты RSA (с SHA512) для серверной аутентификации;
  • 4096-битные параметры Диффи — Хеллмана для обмена ключами;
  • DHE для обеспечения совершенной прямой секретности;
  • минимальная версия криптографического протокола для канала управления — TLS 1.2, при этом также доступна TLS 1.3;
  • для последних версий клиента OpenVPN мы предлагаем следующие алгоритмы шифрования, используемые в указанном порядке (если пользователь не применяет другую конфигурацию):

    • алгоритмы шифрования канала управления: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • алгоритмы шифрования каналов передачи данных: CHACHA20-POLY1305, AES-256-GCM.
  • ключи обновляются каждые 60 минут.

Серверы WireGuard

WireGuard консервативен и предлагает только один набор криптографических примитивов. Более подробная информация приведена на официальном сайте WireGuard.

Серверы-мосты

Блокирование доступа из определенных местоположений к нашему веб-сайту, API и серверам OpenVPN и WireGuard можно обойти с помощью мостов. Конфигурации наших систем затрудняют или делают невозможным доступ к незашифрованным данным через них, поэтому используемый тип шифрования не имеет большого значения.

Блокировка портов на серверах

Чтобы защитить себя, наших клиентов и качество наших услуг, мы оставляем за собой право блокировать любые IP-адреса или порты. Мы постоянно блокируем исходящий трафик следующих портов:

  • порт 25 — для предотвращения спама;
  • порты 137, 138, 139, 445 — для защиты клиентов от проблем безопасности Microsoft SMB/CIFS;
  • порты 1900 и 2869 — для защиты клиентов от уязвимостей в наборе сетевых протоколов UPnP.