Si simplemente me conecto a un servidor SSH, obtengo la huella dactilar de su clave y la desconecto de inmediato, ¿el protocolo SSH garantiza que el servidor también tenga la clave privada para poder llegar tan lejos en el protocolo?
Es decir, ¿podría haberse falsificado toda esta conexión alguien que pretendía ser el servidor, pero no poseía la clave privada del servidor?
No, esto no es posible. Dependiendo del mecanismo de intercambio de claves en uso, hay (ligeramente) diferentes mecanismos para probar la identidad del servidor. Esto se define en RFC4253 donde requiere "autenticación explícita del servidor". En el caso de RSA ( RFC 4432 ), el servidor firma una parte de los datos proporcionados por el cliente (en realidad un hash de varias piezas) con su clave privada y lo envía de vuelta al cliente. Esta firma prueba que el servidor está en posesión de la clave privada. Sin esto, no habría ninguna protección contra los ataques MITM en SSH.
El cliente y el servidor se involucran en un intercambio de claves Diffie-Hellman (se generan claves efímeras). Uno de los productos es una clave de sesión y un hash de esa clave de sesión. El servidor ssh firma la clave de sesión con la parte privada de su clave de host ('a largo plazo'). El cliente lo verifica con la clave pública. Así se evita el MITM. Tenga en cuenta que no es posible forzar un valor particular usando DH. Un MITM tendría que engañar al cliente con su propio acuerdo de DH y también engañar al servidor con su propio acuerdo de DH. Eso no puede suceder sin el control de la clave privada. Tenga en cuenta que esta es la autenticación del servidor que está separada y aparte de la autenticación del cliente.
Lea otras preguntas en las etiquetas man-in-the-middle ssh spoofing fingerprint