当攻击者能够监视信道两端时,与目前所有实用的低延迟匿名设计一样,Tor 就失效了。
例如,攻击者控制或监视你的 Tor 入口节点,同时控制或监视你访问的网站。
在这种情况下,学术界尚未找到一种实用的低延迟设计,能够可靠地阻止攻击者对两端的数量和计时信息进行关联。
那么,我们应该如何应对?
假设攻击者控制或监视 C 个中继。
假设共有 N 个中继。
如果您每次使用网络时都选择新的入口和出口中继,则攻击者将能够以大约 (c/n)^2 的概率关联您发送的所有流量。
但是,对大多数用户来说,特征分析与全程跟踪一样糟糕:他们想要做的事情常常未引起攻击者的注意,并且攻击者关注一次和多次同样不可接受。
因此,选择太多随机的入口和出口,用户将没有机会避免这种攻击者的特征分析。
解决方法是“入口守卫”:每个 Tor 客户端随机选择几个中继作为入口点,并只使用这些中继作为第一跃点。
如果这些中继没有被控制或监视,攻击者就不可能赢,永远不可能,而用户将是安全的。
如果这些中继被监视或控制,攻击者将看到更多一部分用户流量,但用户特征仍然没有比以前更多。
因此,用户仍然有一些机会(大概 (n-c)/n)避免特征分析,而之前几率为零。
了解更多相关信息,可查看 An Analysis of Degradation of Anonymous Protocols、Defending Anonymous Communication Against Passive Logging Attacks 以及 Locating Hidden Servers(特别推荐)。
另外,入口节点可能有助于预防有些攻击者:通过运行几个 Tor 节点,轻松列举所有 Tor 用户的 IP 地址。
(虽然无法获悉用户通信的目的地,但他们仍然可能仅凭一份用户名单就能做坏事。)
不过,在采用“目录守卫”之前,这一功能并不能真的发挥作用。