Tor (la fel ca toate modelele actuale de anonimat cu latență scăzută) eșuează atunci când atacatorul poate vedea ambele capete ale canalului de comunicații.
De exemplu, să presupunem că atacatorul controlează sau urmărește releul Tor pe care alegeți să îl introduceți în rețea și, de asemenea, controlează sau urmărește site-ul pe care îl vizitați.
În acest caz, comunitatea de cercetare nu cunoaște un design practic cu latență scăzută care poate opri în mod fiabil atacatorul să coreleze informațiile despre volum și sincronizare de pe cele două părți.
Deci, ce ar trebui să facem?
Să presupunem că atacatorul controlează sau poate observa releele C.
Să presupunem că sunt N relee totale.
Dacă selectați noi relee de intrare și ieșire de fiecare dată când utilizați rețeaua, atacatorul va putea corela tot traficul pe care îl trimiteți cu probabilitate în jurul (c/n)2.
Dar profilarea este, pentru majoritatea utilizatorilor, la fel de rea ca și urmărirea tot timpul: ei doresc să facă ceva adesea fără ca un atacator să observe, iar atacatorul să observe o dată este la fel de rău ca atacatorul să observe mai des.
Astfel, alegerea mai multor intrări și ieșiri aleatorii nu oferă utilizatorului nicio șansă de a scăpa de profilarea acestui tip de atacator.
Soluția este "gardienii de intrare": Fiecare client Tor selectează câteva relee la întâmplare pentru a le folosi ca puncte de intrare și utilizează doar acele relee pentru primul hop.
Dacă aceste relee nu sunt controlate sau observate, atacatorul nu poate câștiga, niciodată, iar utilizatorul este sigur.
Dacă aceste relee sunt observate sau controlate de atacator, atacatorul vede o fracțiune mai mare din traficul utilizatorului - dar totuși utilizatorul nu este mai profilat decât înainte.
Astfel, utilizatorul are o oarecare șansă (în ordinea (n-c)/n) de a evita profilarea, în timp ce nu au avut înainte.
Puteți citi mai multe la O analiză a degradării protocoalelor anonime, Apărarea comunicării anonime împotriva atacurilor de logare pasivă și în special Localizarea serverelor ascunse.
Restricționarea nodurilor de intrare poate ajuta, de asemenea, împotriva atacatorilor care doresc să ruleze câteva noduri Tor și să enumere cu ușurință toate adresele IP ale utilizatorului Tor.
(Chiar dacă nu pot afla cu ce destinații vorbesc utilizatorii, ei încă ar putea fi capabili să facă lucruri rele cu doar o listă de utilizatori.)
Cu toate acestea, această caracteristică nu va deveni cu adevărat utilă până când nu ne mutăm la un design "director de pază", de asemenea.