Torで、中間リレーと出口リレーが定期的に変更され、ガードリレーは変更されないのはなぜですか？

あなたの質問に答えるために、最初の誤解を訂正させてください。ガードリレーが危険にさらされても、回路全体は危険にさらされません。ガードリレーは、回線を確立したクライアントのIPアドレスのみを識別できますが、通信先のサーバーやコンテンツを識別できません。

これはガードの設計を説明します これはドキュメントです それについて-そして2番目の質問に答えます。主な理由を引用すると：

各回路に新しいリレーを選択した場合、最終的にいくつかのリレーを実行する攻撃者が最初と最後のホップになります。エントリガードを使用すると、特定の回路のエンドツーエンドの相関のリスクは同じですが、時間の経過に伴うすべての回路の累積リスクは制限されます。

これは、次のことを意味します。攻撃者が10個のうち1個のガードリレーと1個の出口ノードを制御し、それらの間でトラフィック相関を実行できると仮定します。サイトに10人のユーザーがいて、ガードリレーを頻繁に変更する場合、1日で10個すべてのガードリレーを変更し、悪意のあるガードリレーがそれらすべてを認識します。しかし、ガードリレーが変更されていない場合、攻撃者は1日の終わりにそのうちの1つだけを知っています。これにより、攻撃者の攻撃コストが大幅に上昇します。

それでは最初の質問です。回路変更（10分に1回）の主な理由は プロファイリングを防止するため です。回路が十分に長く使用されている場合、悪意のある出口ノードオペレーターは、IPアドレスを知らなくても、さまざまなWebサイトでのアクティビティを相互に関連付けて、あなたが誰であるかを合理的に見つけることができます。回路を変更すると、これを防ぐことができます。