Tor (как и все современные практические проекты анонимности с низкой задержкой) не работает, когда злоумышленник может видеть оба конца канала связи.
Например, предпололжим, что атакующий контролирует или может наблюдать за входным реле и за сайтом, который вы посещаете.
В этом случае исследовательское сообщество не знает ни одной практической архитектуры с низкой задержкой, которая могла бы надежно помешать злоумышленнику сопоставить информацию об объеме и времени на двух сторонах.
Так что же нам делать?
Предположим, что злоумышленник контролирует или может наблюдать за C реле.
Предположим, что всего есть N узлов.
Если вы выбираете новые входные и выходные реле каждый раз, когда используете сеть, злоумышленник сможет сопоставить весь отправляемый вами трафик с вероятностью около (С/N)2.
Но профилирование для большинства пользователей так же плохо, как и постоянное отслеживание: они хотят делать что-то часто и незаметно для злоумышленника, и атакующий, заметивший это один раз, так же плох, как и атакующий, замечающий это чаще.
Таким образом, выбор множества случайных входов и выходов не дает пользователю шанса избежать профилирования со стороны такого рода злоумышленников.
Решением являются "входные реле": каждый клиент Tor случайным образом выбирает несколько реле для использования в качестве точек входа и использует только эти реле для первого перехода.
Если эти реле не контролируются и не наблюдаются, злоумышленник не сможет победить никогда, и пользователь будет в безопасности.
Если эти реле наблюдаются или контролируются злоумышленником, он видит более значительную часть пользовательского трафика - но при этом пользователь профилируется не больше, чем раньше.
Поэтому у пользователя появляется шанс защититься от атакующего (порядка (n-c)/n), тогда как раньше у него его не было.
Подробнее можно прочесть в An Analysis of the Degradation of Anonymous Protocols, Defending Anonymous Communication Against Passive Logging Attacks, и особенно Locating Hidden Servers.
Ограничение количества входных узлов также позволяет бороться с теми, кто хочет самостоятельно запустить несколько узлов Tor, чтобы собрать все IP адреса пользователей Tor.
(Даже не зная какие сайты посещают пользователи сети Tor, атакующие всё равно смогут навредить, имея на руках только списки пользователей).
Однако эта функция не станет по-настоящему полезной до тех пор, пока мы не перейдем к архитектуре "directory guard".