Ein Beobachter, der sowohl dich als auch die Zielwebsite oder deinen Tor-Ausgangsknoten sehen kann, kann die Zeitpunkte deines Datenverkehrs beim Eintritt in das Tor-Netzwerk und beim Verlassen desselben miteinander in Verbindung bringen. Tor bietet keinen Schutz gegen ein solches Bedrohungsmodell.

Wenn eine Zensurbehörde oder eine Strafverfolgungsbehörde in der Lage ist, Teile des Netzes gezielt zu beobachten, können sie den Verdacht bestätigen, dass du regelmäßig mit deinem Freund sprichst, indem sie den Verkehr an beiden Enden beobachten und nur den Zeitpunkt dieses Verkehrs korrelieren. Dies ist nur nützlich, um zu überprüfen, ob die Parteien, die bereits im Verdacht stehen, miteinander zu kommunizieren, dies auch tun. In den meisten Ländern hat der für das Erlassen eines Haftbefehls erforderliche Anfangsverdacht bereits mehr Gewicht als die zeitliche Korrelation.

Da Tor außerdem Schaltkreise für mehrere TCP-Verbindungen wiederverwendet, ist es möglich, nicht-anonymen und anonymen Verkehr an einem bestimmten Exit-Knoten miteinander in Verbindung zu bringen, also sei vorsichtig, welche Anwendungen du parallel nebeneinander über Tor laufen lässt. Vielleicht solltest du sogar separate Tor-Clients für diese Anwendungen betreiben.