上記のように、あなたと目的地のウェブサイトまたはあなたの Tor 出口ノードの両方を見ることができるオブザーバーは、Tor ネットワークに入るときと出るときのあなたのトラフィックのタイミングを関連付けることが可能です。 このような脅威モデルに対する Tor の防御力はありません。

より限定的な意味では、検閲当局や法執行機関がネットワークの一部を具体的に監視する能力を有している場合、両端のトラフィックを観測し、そのトラフィックのみのタイミングを関連付けることによって、あなたが友人と定期的に会話しているという疑いを検証することが可能であることに注意してください。 繰り返しになりますが、これは、すでに相互に通信している疑いのある当事者が通信していることを確認する場合にのみ役立ちます。 ほとんどの国では、令状を取るために必要な疑惑は、タイミングの相関関係で得られる以上の重みをすでに持っています。

さらに、Tor は複数のTCP接続のための回線を再利用することにより、ある出口ノードで非匿名と匿名のトラフィックを関連付けることが可能なため、Tor 上で同時に実行するアプリケーションには注意してください。 おそらく、これらのアプリケーション用に別のTorクライアントを実行することもできます。

インターネット通信は、郵便になぞらえて理解できる保存転送モデルに基づいています。データは、IPデータグラムまたはパケットと呼ばれるブロックで送信されます。 すべてのパケットには、通常の手紙に差出人と受取人の郵便住所が含まれているように、（送信者の）送信元IPアドレスと（受信者の）宛先IPアドレスが含まれています。 送信者から受信者への経路には、複数のルータのホップが含まれ、各ルータは宛先IPアドレスを検査し、パケットを宛先の近くに転送します。 したがって、送信者と受信者の間のすべてのルータは、送信者が受信者と通信していることを知ります。 特に、あなたの地域のISPは、あなたのインターネット利用の完全なプロファイルを構築することができる立場にあります。 さらに、パケットのいずれかを認識できるインターネット内のすべてのサーバーは、あなたの行動をプロファイリングできます。

Tor の目的は、一連のプロキシを介してトラフィックを送信することで、プライバシーを向上させることです。 あなたの通信は多層的に暗号化され、Tor ネットワークを通じて最終的な受信者まで複数のホップを経由してルーティングされます。 このプロセスの詳細につきましては、こちらの図をご覧ください。 地元のISPが観察できるのは、あなたが Tor ノードと通信しているということだけであることにご注意ください。 同様に、インターネット上のサーバーは、Tor ノードからコンタクトを受けていることがわかるだけです。

一般的に言って、Tor は3つのプライバシー問題を解決しようとしています。

第一に、Tor はウェブサイトやその他のサービスがあなたの位置情報を知ることを防ぎ、あなたの習慣や興味に関するデータベースを構築するのを防止します。 Tor では、インターネット接続ではデフォルトでは情報が提供されませんが、接続ごとにどの程度の情報を公開するかを選択できるようになりました。

第二に、Tor は、あなたのトラフィックをローカルで監視している人 (ISPや自宅のWi-Fiやルーターにアクセスできる人など) が、あなたがどの情報をどこから取得しているかを知ることを防ぎます。 また、あなたが何を学び、公開することが許されるかを決めることもできなくなります -- Tor ネットワークの一部にでもアクセスできれば、インターネット上のどのサイトにも接続できます。

第三に、Tor は接続を複数の Tor リレーを経由してルーティングするため、1つのリレーではユーザーが何をしようとしているかを知ることができません。 これらのリレーは異なる個人または組織によって実行されるため、信頼を分散することで、古い ワンホッププロキシ のアプローチよりもセキュリティが向上します。

ただし、Tor がこれらのプライバシー問題を完全に解決できない場合があることにご注意ください。詳細につきましては、以下の残りの攻撃のエントリーをご覧ください。

「Tor」という名前は、Tor を構成している複数の異なるプロジェクトで使用されています。

Tor はあなたのPCで実行でき、インターネット上であなたを安全に保ちます。 世界中のボランティアによって運用されているリレーの分散ネットワーク上であなたの通信をバウンドさせることによって、あなたを保護します。あなたのインターネット接続を監視している誰かが、あなたが訪問するサイトを知ることを防ぎ、あなたが訪問するサイトがあなたの物理的な位置を知ることを防ぎます。 このボランティアリレーの集合を Tor ネットワークと呼びます。

多くの人が Tor を使う方法は、Tor Browser を使うことです。Tor Browser は Firefox の多くのプライバシー問題を解決するバージョンです。 Tor の詳細につきましては、概要ページをご覧ください。

Tor Projectは、Tor ソフトウェアの保守と開発を行う非営利 (慈善) 団体です。

Tor はオニオンルーティングネットワークです。 2001年から2002年にかけて、オニオンルーティングの新しい次世代設計と実装に着手していた頃、私たちがオニオンルーティングに取り組んでいると言うと、人々はこう言ったものだ。「どっち？」と。 オニオンルーティングが一般的な用語になったとしても、Tor は海軍研究所が実際に行ったオニオンルーティングプロジェクトから生まれました。

(ドイツ語やトルコ語でも細かい意味があります。)

注意: もともとは頭字語からきていますが、Tor のスペルは "TOR " ではありません。 最初の文字だけが大文字になります。 実際、私たちのウェブサイトをまったく読んでいない（代わりにニュース記事から Tor に関する知識をすべて学んだ）人たちは、スペルを間違えているという事実でたいてい見分けることができます。

いいえ、しません。 アプリケーションとプロトコルを理解し、送信するデータを消去または 「スクラブ」 する方法を知っている別のプログラムを使用する必要があります。 Tor Browser は、ユーザーエージェント文字列のようなアプリケーションレベルのデータを、すべてのユーザーに対して統一しようとします。 ただし、Tor Browser はフォームに入力したテキストに対しては何もできません。

一般的なプロキシプロバイダーは、インターネット上のどこかにサーバーを設定し、それを使用してトラフィックを中継できるようにします。 これにより、シンプルでメンテナンスが容易なアーキテクチャが構築されます。 ユーザはすべて同じサーバーを経由して出入りします。 プロバイダーは、プロキシの使用料を請求したり、サーバー上の広告を通じて費用を負担したりすることができます。 最もシンプルな構成では、何もインストールする必要はありません。 ブラウザーをプロキシサーバーに向けるだけです。 オンラインでのプライバシーと匿名性の保護を望まず、プロバイダーが悪いことをしないと信頼している場合は、単純なプロキシプロバイダーで十分です。 シンプルなプロキシプロバイダーの中には、SSL を使用して接続を保護するものもあります。これにより、フリー Wi-Fi インターネットを備えたカフェなどにいる盗聴者から保護されます。

また、単純なプロキシプロバイダーは単一障害点を生み出します。 プロバイダーは、あなたが誰であるかも、インターネットで何を閲覧しているかも知っています。 彼らは、サーバーを通過するあなたのトラフィックを監視することができます。 場合によっては、暗号化されたトラフィックを銀行サイトやeコマースストアに中継する際に、その内部まで見られてしまうこともあります。 プロバイダーがあなたのトラフィックを監視したり、トラフィックの流れに独自の広告を挿入したり、あなたの個人情報を記録したりしていないことを信じる必要があります。

Tor は、トラフィックを宛先に送信する前に、少なくとも3つの異なるサーバーを通過させます。 3つのリレーごとに個別の暗号化レイヤーがあるため、インターネット接続を監視している人は、Tor ネットワークに送信している内容を変更したり、読み取ったりすることはできません。 あなたのトラフィックは、(あなたのコンピューター上の) Tor クライアントと、世界のどこかの場所との間で暗号化されます。

1番目のサーバーは私を特定できますか？

可能です。 3つのサーバーの内、1番目のサーバーに悪意がある場合、暗号化されたあなたのTorトラフィックを見ることができます。 あなたが誰で、Tor上で何をしているのかはまだ知られていません。 「この IP アドレスは Tor を使用しています」 と表示されるだけです。 インターネット上であなたが誰であり、どこへ行こうとしているのかを把握するこのノードから、あなたはまだ守られています。

3番目のサーバーは私のトラフィックを見ることができますか？

可能です。 3つのサーバーの内、3番目のサーバーに悪意がある場合、あなたのTorトラフィックを見ることができます。 誰がこのトラフィックを送信したかは分かりません。 暗号化 (HTTPSなど) を使用している場合は、宛先のみが認識されます。 Tor と HTTPS の相互作用を理解するには、Tor と HTTPS をご覧ください。

はい。

Tor はフリーソフトウェアです。 これは、Tor のソフトウェアを、変更してもしなくても、有償または無償で再配布する権利をあなたに与えることを意味します。 特に許可を求める必要はありません。

ただし、Tor ソフトウェアを再配布する場合は、私たちの ライセンス に従う必要があります。 基本的には、配布するTorソフトウェアのどの部分にも、私たちのLICENSEファイルを含める必要があります。

この質問をする人のほとんどは、Tor ソフトウェアだけを配布したいわけではありません。 彼らは Tor Browser を配布したいと思っています。 これには Firefox Extended Support ReleaseとNoScript拡張機能が含まれます。 それらのプログラムのライセンスにも従う必要があります。 これらの Firefox 拡張機能は、どちらも GNU General Public License の下で配布されており、Firefox ESR は Mozilla Public License の下でリリースされています。 彼らのライセンスに従う最も簡単な方法は、バンドル自体を含むすべての場所にこれらのプログラムのソースコードを含めることです。

また、Tor とは何か、誰が作っているのか、どのような機能があるのか（そしてないのか）について、読み手を混乱させないようにする必要があります。 商標に関する FAQ で詳細をご確認ください。

Tor で使用できるプログラムは他にもたくさんありますが、すべてのプログラムについてアプリケーションレベルの匿名性の問題を十分に調査したわけではないので、安全な構成を推奨できません。 私たちのwikiには、 特定のアプリのトーリング の手順のコミュニティ管理リストがあります。 このリストに追加して正確性の維持に協力してください。

多くの人は、Tor を利用したウェブブラウジングを安全に行うためのすべてが入っている Tor Browser を使います。 Tor を他のブラウザーで使うことは危険であり、推奨されません。

Tor にバックドアは一切存在しません。

私たちの管轄（米国）では、誰かが私たちにバックドアを追加させようとすることはないだろうと言う賢い弁護士も知っています。 もし彼らが私たちに求めてきたら、私たちは彼らと戦い、(弁護士たちは)おそらく勝つでしょう。

私たちは、絶対に、Tor にバックドアを仕込みません。 Tor にバックドアを入れることはユーザーに対して非常に無責任な行為であり、セキュリティソフトウェア全般において悪い前例になると私たちは考えます。 もし私たちが自身のセキュリティソフトウェアにバックドアを仕込むことがあるならば、それは私たちのプロとしての名誉を大きく傷つけることとなるでしょう。 誰も私たちのソフトウェアを二度と信用しないでしょう。

そうは言っても、人々が試みる可能性のある巧妙な攻撃はまだたくさんあります。 誰かが私たちになりすましたり、コンピューターに侵入したりするかもしれません。 Tor はオープンソースなので、怪しいものがないか常にソース (少なくとも前回のリリースとの違い) をチェックしてください。 もし私たち（あるいは Tor を提供したディストリビューター）がソースコードへのアクセス権をあなたに与えないなら、それは何かおかしなことが起こっている可能性がある証拠です。 また、リリースのPGP署名をチェックし、誰も配布サイトを改ざんしていないことを確認することをお勧めします。

加えて、もしかしたら Tor に匿名性に悪影響を及ぼすバグがあるかもしれません。 私たちは定期的に匿名性に関わるバグを発見し、修正していますので、Tor のバージョンを最新に保つようにしてください。

攻撃者が通信チャネルの両端を認識できる場合、Tor は (現在の実用的な低遅延匿名性設計と同様に) 失敗します。 例えば、攻撃者がユーザーがネットワークに入るために選択した Tor リレーを制御または監視し、ユーザーがアクセスするウェブサイトも制御または監視しているとします。 この場合、研究コミュニティは、攻撃者が双方のボリュームとタイミング情報を相関させるのを確実に阻止できる実用的な低遅延設計を知りません。

では、どうすればいいのでしょうか？ 攻撃者がCつのリレーを制御している、または監視できるとします。 合計でN個のリレーがあるとします。 ネットワークを利用するたびに新しい入口リレーと出口リレーを選択すると、攻撃者はあなたが送信するすべてのトラフィックを(c/n)2程度の確率で相関させることができます。 しかし、プロファイリングは、ほとんどのユーザーにとって、常に追跡されているのと同じくらい悪いものです。攻撃者に気づかれずに何かをしたいと思うことが多く、攻撃者が1回気づくと、攻撃者がより頻繁に気づくのと同じくらい悪いことになります。 したがって、多くのランダムな出入口を選択すると、ユーザーはこの種の攻撃者によるプロファイリングから逃れることはできません。

解決策は 「エントリーガード」 です。各 Tor クライアントは、エントリーポイントとして使用するいくつかのリレーをランダムに選択し、それらのリレーのみを最初のホップに使用します。 これらのリレーが制御または監視されていない場合、攻撃者は決して勝つことができず、ユーザーは安全です。 これらのリレーが攻撃者によって監視または制御されている場合、攻撃者はユーザーのトラフィックの大部分を認識しますが、それでもユーザーは以前よりもプロファイルされません。 したがって、ユーザーはプロファイリングを回避できる可能性が（(n-c)/nの配列で）いくらかある。

詳細につきましては、 匿名プロトコルの劣化の分析、受動的なロギング攻撃から匿名通信を守る、特に隠されたサーバーを見つけるをご覧ください。

入口ノードを制限することは、複数の Tor ノードを実行し、すべての Tor ユーザーのIPアドレスを簡単に列挙しようとする攻撃者に対しても有効です。 (ユーザーが話している宛先を知ることはできなくても、ユーザーのリストだけで悪事を働くことはできるかもしれません。) しかし、この機能は 「ディレクトリガード」 設計に移行するまで、実際には役に立ちません。

Tor は3つの目標を念頭に置いて、様々な異なる鍵を使用しています: 1) Tor ネットワーク内のデータのプライバシーを確保するための暗号化、2) クライアントが意図したリレーと会話していることを確認するための認証、3) すべてのクライアントが同じリレーセットを知っていることを確認するための署名。

暗号化:まず、Tor のすべての接続はTLSリンク暗号化を使用するため、監視者は特定の通信がどの回線に向けられているかを内部から見ることはできません。 さらに、Torクライアントは、回線内の各リレーで一時的な暗号化キーを確立します;これらの追加の暗号化層は、出口リレーのみが通信を読み取ることができることを意味します。 回線終了時に双方とも回線キーを破棄するため、トラフィックを記録し、リレーに侵入してキーを発見することはできません。

認証： すべての Tor リレーは "Onion Key" と呼ばれる公開復号鍵を持っています。 各リレーは4週間ごとにOnion Keyを変更します。 Tor クライアントが回線を確立すると、各ステップで Tor リレーが自分の Onion Key の知識を証明することを要求します。 そうすれば、パスの最初のノードが残りのパスを偽装することはできません。 Tor クライアントはパスを選択するため、Tor の「分散信頼」プロパティを確実に取得できます。つまり、パス内の単一のリレーは、クライアントとクライアントの動作の両方を知ることができません。

調節 :クライアントはどのようにしてリレーが何であるかを知り、どのようにして適切なキーを持っているかを知るのでしょうか？ 各リレーは「IDキー」と呼ばれる長期公開署名鍵を持っています。 各ディレクトリ管理機関は、さらに 「ディレクトリ署名キー」 を持ちます。 ディレクトリ管理機関は、すべての既知のリレーの署名付きリストを提供します。そのリストには、各リレーの鍵、場所、出口ポリシーなどを指定する、各リレーからの証明書一式 (ID キーによる自己署名) が含まれています。 したがって、攻撃者がディレクトリ管理機関の大部分を制御できない限り (2022年現在、8つのディレクトリ管理機関があります) 、Tor クライアントをだまして他の Tor リレーを使用させることはできません。

クライアントはどのようにしてディレクトリ管理機関を知ることができますか？

Tor ソフトウェアには、各ディレクトリ管理機関の場所と公開鍵のリストが内蔵されています。 そのため、ユーザーをだまして偽の Tor ネットワークを使わせる唯一の方法は、特別に改造されたバージョンのソフトウェアを提供することです。

ユーザーはどのようにして適切なソフトウェアを持っているかを知ることができますか？

ソースコードやパッケージを配布するときは、 GNU Privacy Guard でデジタル署名します。 Tor Browser の署名の確認方法をご覧ください。

それが本当に私たちによって署名されたものだと確信するためには、私たちに直接会ってGPGキーのフィンガープリントのコピーを手に入れるか、あるいはそのような人物を知っている必要がある。 このレベルの攻撃を懸念している場合は、セキュリティコミュニティに参加して、人々と出会うことをお勧めします。

Tor は新しいTCPストリームに同じ回線を10分間、その回線が正常である限り再利用します。 (回線に障害が発生した場合、Tor はただちに新しい回線に切り替わります。)

しかし、1つのTCPストリーム（長いIRC接続など）は、永遠に同じ回線上に留まることにご注意ください。 私たちは、個々のデータの流れを回線ごとに変更することはありません。 そうでなければ、ネットワークを部分的に把握している敵対者に、あなたを目的地までつなげるチャンスは1回だけでなく、時間をかけて何度も与えられることになります。