攻撃者が通信チャネルの両端を認識できる場合、Tor は (現在の実用的な低遅延匿名性設計と同様に) 失敗します。
例えば、攻撃者がユーザーがネットワークに入るために選択した Tor リレーを制御または監視し、ユーザーがアクセスするウェブサイトも制御または監視しているとします。
この場合、研究コミュニティは、攻撃者が双方のボリュームとタイミング情報を相関させるのを確実に阻止できる実用的な低遅延設計を知りません。
では、どうすればいいのでしょうか?
攻撃者がCつのリレーを制御している、または監視できるとします。
合計でN個のリレーがあるとします。
If you select new entry and exit relays each time you use the network, the attacker will be able to correlate all traffic you send with probability around (c/n)^2.
しかし、プロファイリングは、ほとんどのユーザーにとって、常に追跡されているのと同じくらい悪いものです。攻撃者に気づかれずに何かをしたいと思うことが多く、攻撃者が1回気づくと、攻撃者がより頻繁に気づくのと同じくらい悪いことになります。
したがって、多くのランダムな出入口を選択すると、ユーザーはこの種の攻撃者によるプロファイリングから逃れることはできません。
解決策は 「エントリーガード」 です。各 Tor クライアントは、エントリーポイントとして使用するいくつかのリレーをランダムに選択し、それらのリレーのみを最初のホップに使用します。
これらのリレーが制御または監視されていない場合、攻撃者は決して勝つことができず、ユーザーは安全です。
これらのリレーが攻撃者によって監視または制御されている場合、攻撃者はユーザーのトラフィックの大部分を認識しますが、それでもユーザーは以前よりもプロファイルされません。
したがって、ユーザーはプロファイリングを回避できる可能性が((n-c)/nの配列で)いくらかある。
詳細につきましては、 匿名プロトコルの劣化の分析、受動的なロギング攻撃から匿名通信を守る、特に隠されたサーバーを見つけるをご覧ください。
入口ノードを制限することは、複数の Tor ノードを実行し、すべての Tor ユーザーのIPアドレスを簡単に列挙しようとする攻撃者に対しても有効です。
(ユーザーが話している宛先を知ることはできなくても、ユーザーのリストだけで悪事を働くことはできるかもしれません。)
しかし、この機能は 「ディレクトリーガード」 設計に移行するまで、実際には役に立ちません。