In Tor, i relè di centrale e di uscita vengono modificati periodicamente e vengono scelti da un relè disponibile, qual è il motivo alla base?
Perché il nodo di guardia non viene cambiato molto spesso? Non è un relè molto sensibile nel circuito come se fosse compromesso, quindi l'intero circuito può essere compromesso secondo la mia comprensione?
Per rispondere alle tue domande, lascia che corregga il primo fraintendimento. Se il relè di protezione è compromesso, l'intero circuito NON è compromesso. Il relè di guardia può solo identificare l'indirizzo IP del client che ha stabilito il circuito, ma non può identificare il server con cui stai comunicando, né il contenuto.
Questo spiega il progetto di guardia - ecco il documento a riguardo - e risponde alla tua seconda domanda. Per citare il motivo principale:
If you choose new relays for each circuit, eventually an attacker who runs a few relays will be your first and last hop. With entry guards, the risk of end-to-end correlation for any given circuit is the same, but the cumulative risk for all your circuits over time is capped.
Questo significa quanto segue: supponiamo che un attaccante controlli un relè di guardia su dieci e un nodo di uscita, e quindi possa fare la correlazione del traffico tra di essi. Se ci sono 10 utenti del sito, e cambiano spesso il relè di guardia, in un giorno cambiano tutti i dieci relè di guardia, e il relè malizioso saprà di tutti loro. Ma se il relè di guardia non cambia, l'attaccante ne conoscerà solo uno alla fine della giornata. Ciò solleva in modo significativo il costo dell'attacco a un utente malintenzionato.
Ora la prima domanda. Il motivo principale per cui il circuito cambia (una volta ogni 10 minuti) è per impedire la profilazione . Se il circuito viene utilizzato abbastanza a lungo, un operatore di nodo di uscita malevola sarà in grado di correlare le tue attività su diversi siti Web e trovare ragionevolmente chi sei, anche se non conoscerebbe il tuo indirizzo IP. La modifica del circuito lo impedisce.