Tal como lo entiendo, cuando dos sistemas crean un túnel SSH seguro, el primer paso consiste en comunicar las "pautas" para el cifrado de ese túnel. Si un tercer sistema puede escuchar esta conversación inicial, ¿no podría decodificar todos los datos que se envían a través del túnel? ¿Cómo se asegura el túnel si la conversación inicial se realiza a través de una conexión pública?
Aunque la pregunta es sobre SSH, se aplica el mismo concepto que en SSL, así que vea esta respuesta que lo explica todo.
Breve resumen: es mágico. criptografía asimétrica mágica, para ser precisos.
La buena vieja analogía de la caja fuerte con dos bloqueos:
Alice tiene una caja fuerte con un mensaje para Bob. (El mensaje es a lo que te refieres como
the 'guidelines' for the encryption of that tunnel).Ella bloquea la caja fuerte con el mensaje en ella con su candado (y mantiene la llave).
Bob recibe la caja fuerte, pero no puede abrirla. En su lugar, agrega su cerradura en la caja fuerte y envía la caja fuerte a Alice
Alice, ahora satisfecha de que la caja fuerte esté cerrada con la cerradura de Bob, elimina aquí la cerradura propia (con su clave privada) y envía la caja fuerte nuevamente
Bob recibe la caja fuerte, con su cerradura solo en ella, y ahora puede abrirla.
Esto es lo básico de cómo funciona el intercambio de información privada a través de una red pública, con una clave asimétrica para cada participante.
A través de este mecanismo, Alice y Bob pueden intercambiar información sobre cómo establecer la conexión cifrada.
Lea otras preguntas en las etiquetas ssh