В статье криво описан метод подсоединения. Вот как он выглядит правильно:клиент (ssh) соединяется с сервером (sshd) на порт сервера (22/SSH).
сервер отвечает версией поддерживаемого протокола, по которой отвечает клиент.
сервер отсылает клиенту свой публичный ключ открыто(1), либо посылает подписанный сертификат(2)
клиент либо (1) проверяет присланный публичный ключ сервера, либо (2) контактирует 3тю сторону подписавшую сертификат, получает от неё публичный ключ для дешифровки сертификата, дешифрует сертификат - получая публичный ключ сервера и служебную информацию (хэш подпись публичного ключа сервера, также зашифрованную частным ключем 3й стороны) - и сверяет последние, чтобы убедится в аутентичности присланного публичного ключа.
используя полученный публичный ключ сервера, клиент и сервер с помощью алгоримта Diffie-Hellman получают общий сессионый ключ, на котором строится дальнейший обмен. сессионный ключ и шифрование канала ничего общего с ассиметричными ключами не имеют.
если сессия наладилась, то клиент шифрует и отсылает логин учетки и ID пары ключей, которые он хочет использовать.
сервер декодирует присланное сообщение своим частным ключем сервера и проверяет файл authorized_keys на ID указанной учетки.
если запись присутствует, сервер шифрует произвольное число (ПЧ, rnd) указанным там публичным ключем клиента и отсылает это клиенту.
клиент дешифрует сообщение используя свой частный ключ, получая ПЧ у себя.
клиент комбинирует ПЧ с сессионным ключем и просчитывает с них (md5 или подобные разрешенные хэш функции) хэш.
клиент отсылает полученный хэш на сервер.
сервер проделывает то же самое - но у себя, и сравнивает свой хэш с полученным хэшем от клиента.
если все успешно, сервер логинит пользователя у себя и дает шелл на удаленный адрес.
