Sieć Tor od lat stanowi jeden z najbardziej rozpoznawalnych symboli anonimowości w Internecie. Jej konstrukcja, oparta na wielowarstwowym szyfrowaniu i przekazywaniu ruchu przez zestaw niezależnych węzłów, ma na celu ukrycie rzeczywistego źródła komunikacji. Dla użytkowników oznacza to ochronę prywatności; dla biegłych sądowych i analityków śledczych – wyzwanie, jakiego żaden inny protokół nie stawia w takiej skali. Analiza danych pochodzących z sieci Tor wymaga nie tylko wiedzy technicznej, ale także rozumienia, co z punktu widzenia procesu dowodowego można uznać za pewnik, co jedynie za poszlakę, a co jest całkowicie poza zasięgiem identyfikacji.

Tor – The Onion Router – działa poprzez system trzech lub więcej losowo wybranych węzłów: wejściowego (entry lub guard), pośredniego (relay) i wyjściowego (exit node). Każdy z nich zna jedynie sąsiedni element trasy – węzeł wejściowy widzi adres użytkownika, ale nie zna celu, natomiast węzeł wyjściowy zna adres serwera, do którego kierowany jest ruch, lecz nie ma pojęcia, kto go zainicjował. To fundamentalne rozdzielenie informacji sprawia, że żaden pojedynczy serwer w sieci Tor nie ma pełnego obrazu ścieżki danych. W praktyce oznacza to, że jeśli w logach serwera internetowego pojawia się adres IP węzła Tor, można z pełnym przekonaniem stwierdzić, iż połączenie przeszło przez sieć Tor, ale nie można wskazać, kto był jego autorem ani skąd faktycznie pochodził ruch.

Z punktu widzenia analizy śledczej to rozróżnienie ma ogromne znaczenie. Dane uzyskane z logów systemowych – takie jak adres IP, znacznik czasu, nagłówki HTTP czy identyfikator przeglądarki – mają charakter czysto techniczny. Jeśli adres IP znajduje się w aktualnym lub archiwalnym konsensusie Tor (publikowanym co godzinę przez tzw. Directory Authorities), biegły może w sposób wiarygodny potwierdzić, że jest to adres węzła sieci Tor, a często również ustalić, czy pełnił on rolę węzła pośredniego, czy wyjściowego. Można też określić, w jakim okresie był aktywny, z jakiego kraju pochodził, jakiego operatora i systemu autonomicznego dotyczył. To wszystko stanowi twarde, weryfikowalne informacje, które mogą mieć wysoką wartość procesową – zwłaszcza przy potwierdzaniu, że dany ruch został zanonimizowany przez Tor, a więc nie pochodził bezpośrednio z urządzenia użytkownika, lecz z serwera pośredniczącego.

Problem zaczyna się w momencie, gdy próbuje się przekroczyć granicę tej wiedzy i zidentyfikować konkretnego użytkownika. Architektura Tor z założenia uniemożliwia takie przypisanie – i to właśnie w tej konstrukcyjnej cechę tkwi jej siła. O ile w przypadku klasycznych połączeń HTTP adres IP bywa wiarygodnym wskaźnikiem tożsamości użytkownika (lub przynajmniej miejsca pochodzenia połączenia), o tyle w przypadku Tor ten element traci znaczenie dowodowe. Węzły sieci znajdują się najczęściej w dużych centrach danych – u dostawców takich jak OVH, Hetzner, M247 czy Contabo – a jeden węzeł może obsługiwać ruch setek lub tysięcy użytkowników z całego świata. Z perspektywy serwera docelowego ruch z Tor jest więc nieosobowy – stanowi jedynie potwierdzenie, że ktoś, korzystając z sieci anonimizującej, nawiązał połączenie z danym zasobem.

Nie oznacza to jednak, że analiza kończy się w tym miejscu. Istnieją pewne sytuacje, w których możliwe jest przybliżone odtworzenie źródła ruchu. Najczęściej dzieje się tak w wyniku błędu użytkownika, który na przykład otworzy z poziomu Tor Browser link w zewnętrznej przeglądarce, pozostawiając ślad swojego rzeczywistego adresu IP, lub gdy konfiguracja systemu pozwala na tzw. DNS leak czy WebRTC leak. Zdarza się też, że badane zdarzenie dotyczy kampanii zautomatyzowanej – botów lub skryptów wykorzystujących Tor do maskowania ruchu – wówczas charakter powtarzalności, częstotliwości i schematów żądań pozwala z dużym prawdopodobieństwem ocenić, że za ruchem stoi automat, a nie użytkownik manualny. Wszystko to wymaga jednak pogłębionej analizy heurystycznej i nie daje podstaw do jednoznacznego przypisania odpowiedzialności konkretnej osobie.

W teorii możliwe są także tzw. ataki korelacyjne, polegające na jednoczesnym monitorowaniu ruchu przy wejściu i wyjściu z sieci Tor oraz porównywaniu charakterystyk czasowych i objętościowych pakietów. W praktyce są to jednak działania wymagające kontroli nad znaczną częścią infrastruktury sieciowej i olbrzymich mocy analitycznych, dostępnych wyłącznie dla wyspecjalizowanych agencji. W ramach klasycznych analiz sądowych lub komercyjnych są to metody niemożliwe do zastosowania w sposób praktyczny.

Dlatego w ocenie biegłego – i to jest kluczowy wniosek – dane pochodzące z sieci Tor mają ograniczoną, ale konkretną wartość dowodową. Ich wartość polega nie na tym, że pozwalają zidentyfikować sprawcę, lecz że umożliwiają rzetelne opisanie sposobu, w jaki doszło do komunikacji. Adres IP węzła wyjściowego potwierdza, że ruch został zanonimizowany; dane WHOIS wskazują operatora i kraj; analiza konsensusu Tor pozwala ustalić, w jakim okresie węzeł był aktywny. To informacje istotne przy rekonstrukcji zdarzeń, ponieważ mogą pomóc w odróżnieniu ruchu pochodzącego od realnego użytkownika od ruchu zautomatyzowanego lub zanonimizowanego. W postępowaniu dowodowym ich znaczenie jest porównywalne do śladu po masce technicznej – można opisać, że coś zostało wykonane za pośrednictwem określonego narzędzia, ale nie można wskazać, kto to narzędzie trzymał w ręku.

Z tego względu, sporządzając opinię lub raport techniczny, należy bardzo precyzyjnie dokumentować zarówno źródła informacji, jak i ograniczenia metody. Kluczowe jest zachowanie kopii konsensusu Tor z momentu zdarzenia, opisanie sposobu weryfikacji (np. zapytania do Onionoo API), a także odnotowanie daty i godziny w formacie UTC. Warto również przechować oryginalne logi systemowe wraz z ich sumami kontrolnymi, aby zachować pełną integralność materiału. Dopiero taka dokumentacja nadaje ustaleniom trwałą wartość dowodową i pozwala sądowi lub prokuratorowi ocenić wagę i wiarygodność opinii.

Podsumowując, dane pochodzące z sieci Tor są cenne – ale nie w tym sensie, w jakim cenne są dane lokalizacyjne czy logi z systemów nieanonimizujących. Mają one wartość informacyjną, nie identyfikacyjną. Pozwalają zrozumieć kontekst techniczny zdarzenia, wskazać, że połączenie zostało zrealizowane przez sieć o określonej strukturze i właściwościach, oraz wykazać, że adres IP nie może być utożsamiany z użytkownikiem. To wystarczająco dużo, by miały znaczenie w procesie – i wystarczająco mało, by wymagały ostrożności w interpretacji. W praktyce biegłego stanowią więc nie dowód tożsamości, lecz dowód sposobu komunikacji – i jako takie powinny być traktowane w każdym postępowaniu, które dotyczy aktywności prowadzonej przez sieć Tor.