Acabo de empezar a leer sobre SSH y cómo se usa para la autenticación. De este sitio web , dice:
La clave privada es capaz de generar firmas. Una firma creada con su clave privada no puede ser falsificada por nadie que no tenga esa clave; pero cualquiera que tenga su clave pública puede verificar que una firma en particular es genuina.
Así que genera un par de claves en su propia computadora y copia la clave pública al servidor. Luego, cuando el servidor le pide que demuestre quién es usted, PuTTY puede generar una firma utilizando su clave privada. El servidor puede verificar esa firma (ya que tiene su clave pública) y le permite iniciar sesión. Ahora, si el servidor está pirateado o falsificado, el atacante no obtiene su clave privada o contraseña; solo ganan una firma. Y las firmas no se pueden reutilizar, por lo que no han ganado nada.
Mi pregunta es ¿qué tipo de mensaje se usa en la vida real, junto con su clave privada, para generar la firma digital? Y una vez que el servidor aplica su clave pública para generar el mensaje original, ¿cómo sabe si ese mensaje es correcto? ¿Está el mensaje públicamente disponible?
O cuando intenta conectarse, ¿el servidor le envía un mensaje de uso único para que cree la firma digital utilizando su clave privada?