Tor (wie alle aktuellen praktischen Anonymitätskonzepte mit niedriger Latenz) versagt, wenn der Angreifer beide Enden des Kommunikationskanals sehen kann.
Nehmen wir zum Beispiel an, der Angreifer kontrolliert oder überwacht das Tor-Relay, das du für den Zugang zum Netz wählst, und kontrolliert oder überwacht auch die Website, die du besuchst.
In diesem Fall kennt die Forschungs-Community kein praktikables Design mit geringer Latenz, das den Angreifer zuverlässig daran hindert, Volumen- und Zeitinformationen auf beiden Seiten miteinander in Verbindung zu bringen.
Was können wir also tun?
Angenommen, der Angreifer kontrolliert C Relays oder kann sie beobachten.
Angenommen, es gibt insgesamt N Relays.
Wenn du jedes Mal, wenn du das Netz benutzt, neue Eingangs- und Exit-Relays auswählst, ist der Angreifer in der Lage, den gesamten von dir gesendeten Verkehr mit einer Wahrscheinlichkeit von (c/n)2 zu korrelieren.
Für die meisten Benutzer ist die Profilerstellung jedoch genauso schlimm, wie ständig verfolgt zu werden: Sie wollen oft etwas tun, ohne dass ein Angreifer es bemerkt, und wenn der Angreifer es einmal bemerkt, ist das genauso schlimm wie wenn er es öfter bemerkt.
Durch die Wahl vieler zufälliger Ein- und Ausgänge hat der Benutzer also keine Chance, dem Profiling durch diese Art von Angreifern zu entgehen.
Die Lösung sind „Einstiegs-Schutz-Server“: Jeder Tor-Client wählt zufällig ein paar Relays als Einstiegspunkte aus und benutzt nur diese Relays für den ersten Hop.
Wenn diese Relays nicht kontrolliert oder beobachtet werden, kann der Angreifer nicht gewinnen, niemals, und der Benutzer ist sicher.
Wenn diese Relays vom Angreifer beobachtet oder kontrolliert werden, sieht der Angreifer einen größeren Teil des Datenverkehrs des Benutzers – aber der Benutzer hat trotzdem kein besseres Profil als vorher.
Der Nutzer hat also eine gewisse Chance (in der Größenordnung von (n-c)/n), die Profilerstellung zu vermeiden, während er vorher keine hatte.
Weitere Informationen findest du unter Eine Analyse der Beeinträchtigung von anonymen Protokollen, Verteidigung anonymer Kommunikation gegen passive Logging-Angriffe und insbesondere unter Aufspüren versteckter Server.
Die Beschränkung der Zugangsknoten kann auch gegen Angreifer helfen, die ein paar Tor-Knoten betreiben und einfach alle IP-Adressen der Tor-Benutzer aufzählen wollen.
(Auch wenn sie nicht erfahren können, welche Ziele die Benutzer ansteuern, können sie mit einer bloßen Liste von Benutzern immer noch schlimme Dinge tun).
Dieses Merkmal wird jedoch erst dann wirklich nützlich sein, wenn wir uns ebenfalls zu einem „Verzeichnis-Schutz“-Design verschieben.