Tor (مانند همهٔ طراحیهایِ عملیِ کمتأخیرِ کنونیِ ناشناسی) زمانی که مهاجم بتواند هر دو سر کانال ارتباطی را ببیند، کارآیی خود را از دست میدهد.
برای مثال، فرض کنید مهاجم رلهٔ Tor را که برای ورود به شبکه انتخاب میکنید کنترل یا تماشا نموده و همچنین وبسایتی را که بازدید میکنید کنترل یا تماشا میکند.
در این مورد، جامعهٔ تحقیقاتی هیچ طراحی عملی و کمتأخیری نمیشناسد که بتواند بهطور مطمئن مهاجم را از همبستهیابی اطلاعات زمانگذار و حجم در دو طرف بازدارد.
خب، باید چه کنیم؟
فرض کنید که مهاجم رلههای C را کنترل نموده یا میتواند مشاهده کند.
فرض کنید در کل N رله وجود دارد.
If you select new entry and exit relays each time you use the network, the attacker will be able to correlate all traffic you send with probability around (c/n)^2.
اما نمایهساز برای اکثر کاربران به اندازهٔ دائماً ردیابیشدن نامطلوب است: افراد میخواهند کاری را بدون جلب توجه یک مهاجم انجام دهند، و یکبار متوجهشدن مهاجم به میزان متوجهشدن او برای چندینبار نامطلوب است.
بنابراین، انتخاب بسیاری از ورودیها و خروجیهای تصادفی به کاربر هیچ شانسی برای فرار از نمایهسازی به این نوع مهاجم را نمیدهد.
راهحل «نگهبانان ورودی» است: هر کلاینت Tor بهصورت تصادفی چند رله را برای استفاده بهعنوان نقاط ورودی انتخاب میکند و تنها از آن رلهها برای اولین هاپ خود استفاده میکند.
اگر آن رلهها کنترل یا مشاهده نشوند، مهاجم هرگز نمیتواند پیروز شود و کاربر امن است.
اگر آن رلهها از سوی مهاجم کنترل یا رصد میشوند، مهاجم کسر بزرگتری از ترافیک کاربر را میبیند - اما بااینحال کاربر بیشتر از حالت قبل نمایهسازی نمیشود.
بنابراین، کاربر تا حدی شانس (از مرتبهٔ /n(n-c)) برای اجتناب از نمایهسازی را دارد، درحالیکه قبلاً هیچ شانسی نداشت.
شما میتوانید در تحلیلی از فروسایی پروتکلهای ناشناس، دفاع از ارتباطات ناشناس در برابر حملات رویدادنگاری انفعالی، و بهویژه مکانیابی سرورهای پنهان بیشتر بخوانید.
محدودکردن گرههای ورودیتان همچنین ممکن است به شما در برابر مهاجمانی کمک کند که میخواهند بهآسانی با اجرای چند گره تمام نشانیهای IP کاربر Tor را آمارگیری کنند.
(اگرچه آنها نمیتوانند بدانند که کاربران با چه مقصدهایی صحبت میکنند، هنوز هم ممکن است بتوانند کارهای بدی را تنها با فهرستی از کاربران انجام دهند.)
بااینحال، این ویژگی تا زمانی که به طراحی «نگهبان شاخه» منتقل نشویم، سودمند نخواهد بود.