No, el intercambio de claves se realiza entre el cliente y cada relé. Esta es la técnica general detrás del enrutamiento de cebolla. Para el protocolo Tor moderno, el cliente intercambiará una clave simétrica (AES128) con tres relés que usan ECDHE (no DHE), específicamente usando Curve25519. Un mensaje que se envía desde el cliente se cifrará tres veces con cada clave, y cada relé eliminará una sola capa de cifrado. Una vez que el mensaje llega al relé de salida, solo queda una capa, la capa cifrada con la clave conocida por la salida. La salida lo descifra y lo envía en camino.
También tenga en cuenta que su diagrama es incorrecto. El protocolo SOCKS no se usa para conectarse al primer relé (el guardia), sino para permitir que un programa local en su computadora se conecte a su cliente Tor (generalmente a través de localhost). El protocolo utilizado para conectarse al primer relé es el protocolo Tor en sí mismo.