En Tor, ¿por qué los relés central y de salida se cambian periódicamente pero no el relé de guardia?

Para responder a sus preguntas, permítame corregir el primer malentendido. Si el relé de protección está comprometido, todo el circuito NO está comprometido. Guard relay solo puede identificar la dirección IP del cliente que estableció el circuito, pero no puede identificar el servidor con el que se está comunicando ni el contenido.

Esto explica el diseño de la guardia, aquí está el documento al respecto - y responde a tu segunda pregunta. Para citar el motivo principal:

  

Si elige nuevos relés para cada circuito, eventualmente un atacante que   corre unos cuantos relés será tu primer y último salto. Con guardias de entrada,   el riesgo de correlación de extremo a extremo para cualquier circuito dado es el mismo,   pero el riesgo acumulado para todos sus circuitos a lo largo del tiempo está limitado.

Esto significa lo siguiente: supongamos que un atacante controla un relé de guarda de cada diez y un nodo de salida, y por lo tanto puede hacer correlación de tráfico entre ellos. Si hay 10 usuarios del sitio, y cambian el relé de guardia a menudo, en un día cambian los diez relés de guardia, y el relé de guardia malintencionado los conocerá a todos. Pero si el relé de guardia no cambia, el atacante solo sabrá de uno de ellos al final del día. Esto eleva significativamente el costo del ataque a un atacante.

Ahora la primera pregunta. La razón principal por la que los circuitos cambian (una vez en 10 minutos) es para evitar la creación de perfiles . Si el circuito se usa el tiempo suficiente, un operador malintencionado de nodo de salida podrá correlacionar sus actividades en diferentes sitios web y descubrir razonablemente quién es usted, aunque no conozca su dirección IP. Cambiar el circuito evita esto.