Saltar para o conteúdo principal

Porquê a VPN da Mullvad?

Colocamos a sua privacidade em primeiro lugar desde 2009. Deixe-nos apresentar-lhe o que obtém com a Mullvad VPN.

Two mobile phones using Mullvad VPN

Conta anónima

Não pedimos nenhuma informação pessoal - nem mesmo o seu email - e encorajamos pagamentos anónimos com dinheiro ou criptomoeda.

Sem registos

A sua privacidade é sua, por isso que não registamos a sua atividade. O nosso objetivo de longo prazo é nem sequer guardar detalhes de pagamento.

Auditoria externa

Pedimos auditorias independentes à nossa app e infraestrutura, de modo a fornecer transparência e melhorar as nossas práticas de segurança.

Jurisdição segura

As leis que nos são aplicáveis enquanto fornecedores de VPN com sede na Suécia garantem que a nossa localização é segura tanto para nós como para a sua privacidade.

Kill switch integrado

Se tiver problemas de ligação enquanto o MullVAD VPN está ligado, o kill switch integrado interrompe automaticamente todo o tráfego de rede.

Sem avaliações pagas

Não pagamos por avaliações nem a afiliados, deixamos que o nosso histórico fale por si.

Equipa de apoio interna

Não subcontratamos o nosso apoio. A nossa equipa de apoio dedicada trabalha em estreita colaboração com os programadores para responder às suas perguntas.

Pioneiros

Somos pioneiros em muitas tecnologias e funcionalidades de segurança que são consideradas prática corrente. Também trabalhamos em estreita colaboração com universidades.

Combate a análise de tráfego

Mesmo que encripte o seu tráfego com uma VPN, ainda existe o risco de o seu tráfego poder ser analisado. É por isso que desenvolvemos a DAITA (Defense Against AI-guided Traffic Analysis).

Túneis VPN com resistência quântica

Pode escolher túneis VPN com resistência quântica em todas as nossas plataformas suportadas. Caso os futuros computadores quânticos consigam quebrar a encriptação atual.

Consultas DNS através de um túnel encriptado

Quando utiliza o Mullvad VPN, todas as suas consultas DNS (onde os endereços dos sites são convertidos em endereços IP) passam através do túnel VPN encriptado.

Multihop

Com a nossa funcionalidade multihop, pode encaminhar o seu tráfego através de dois ou mais servidores em locais e jurisdições diferentes.

Características

Windows

macOS

Linux

Android

iOS

Auditoria externa

O código é código aberto

Divisão do túnel

Servidor DNS personalizado

Multihop

OpenVPN over Shadowsocks

WireGuard over Shadowsocks

WireGuard sobre T*****

Rotação automática de chave WireGuard

Relatório de problemas na app

Bloqueadores de conteúdo de DNS

Túneis com resistência quântica

DAITA
  1. O túnel dividido só está disponível no macOS 13 e posterior
Laptop with Mullvad connected

Os aspetos técnicos

Tem curiosidade sobre protocolos, primitivas e outros detalhes que constituem a Mullvad VPN? Aqui tem!

Protocolos VPN na aplicação

Oferecemos suporte a dois protocolos para o túnel VPN, OpenVPN e WireGuard:

  • Limitamos o OpenVPN ao TLS 1.3 (para o canal de controlo) e ao AES-256-GCM (para o canal de dados). Isto está implementado em OpenSSL.
  • Para WireGuard, usamos a implementação padrão do kernel Linux, se disponível. Caso contrário, usamos wireguard-go.

Ligação API da aplicação

A app usa TLS 1.2 ou 1.3, implementada em Rustls*, para encriptar a comunicação com a API. Isto fornece duas funcionalidades:

  • A ligação usa o pinning de certificado para evitar ataques MitM.
  • Para contornar o spoofing de DNS, a app não usa DNS para obter o IP para a API.
*No iOS, é usado o TLS padrão compatível com URLSession

Firewall e segurança da aplicação

A app impede fugas e permite a funcionalidade Kill Switch ao integrar com a firewall do sistema (WFP no Windows, NFTables no Linux e PF em macOS). Saiba mais na nossa página no GitHub

Arquitetura da aplicação

Para limitar a quantidade de código executado como utilizador privilegiado, a app está dividida em duas partes:

  • front-ends sem privilégios (incluindo uma CLI))
  • um serviço de sistema privilegiado que funciona em segundo plano e supervisiona túneis e segurança do dispositivo.
Saiba mais na nossa página no GitHub

Servidores

Em todos os nossos servidores, especificámos configurações padrão e ordens de prioridade de encriptação, para fornecer a encriptação mais forte disponível para cada protocolo de túnel.

Servidores OpenVPN

Os nossos servidores OpenVPN têm as seguintes características:

  • Certificados RSA de 4096-bits (com SHA512) usados para autenticação do servidor.
  • Parâmetros Diffie-Hellman de 4096-bits usados para troca de chaves
  • DHE usado para perfeito sigilo de encaminhamento.
  • Para o canal de controlo é exigido no mínimo a versão 1.2 do TLS, com o TLS 1.3 disponível.

  • Nas versões mais recentes do OpenVPN Client, oferecemos as seguintes cifras, usadas na ordem especificada (a menos que o utilizador aplique uma configuração diferente):

    • cifras de canal de controlo: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • cifras de canal de dados: CHACHA20-POLY1305, AES-256-GCM.
  • A criação de novas chaves ocorre a cada 60 minutos.

Servidores WireGuard

Wireguard é opinativo e oferece apenas um conjunto de primitivos criptográficos. Consulte o site da WireGuard para mais detalhes.

Servidores de ponte

As nossas pontes facilitam a ligação ao nosso site, à API e aos servidores OpenVPN e WireGuard em locais onde o acesso a eles está bloqueado. As nossas configurações dificultam ou tornam impossível aceder a tudo o que não esteja encriptado por elas, por isso o tipo de encriptação utilizado é pouco importante.

Bloqueio de servidor

Para protegermos os nossos clientes, nós próprios e a qualidade do nosso serviço, reservamos o direito de bloquear portas ou qualquer endereço IP. Bloqueamos o tráfego de saída em todos os momentos para as seguintes portas:

  • porta 25 – para prevenir spam
  • portas 137, 138, 139, 445 – para proteger os clientes de um problema de segurança Microsoft SMB/CIFS
  • portas 1900 e 2869 – para proteger os clientes da configuração maliciosa da UPNP.