Autenticación del servidor mediante Claves públicas

Reflection es compatible con dos tipos de autenticación del servidor: clave pública y certificado (una forma especial de autenticación con clave pública).

Cuando se utiliza la autenticación del host con clave pública, se produce la siguiente secuencia de eventos.

1. El cliente Secure Shell inicia una conexión.
2. El servidor envía su clave pública al cliente.
3. El cliente busca su clave en su almacén de claves de host de confianza.

   Si el cliente	Ocurre lo siguiente
   Encuentra la clave del host y la copia del cliente coincide con la clave enviada por el servidor	La autenticación continúa en el siguiente paso.
   No encuentra la clave del host	El cliente muestra un mensaje que indica que el host es desconocido y proporciona una huella digital de la clave del host. Si el cliente está configurado para permitir al usuario aceptar claves desconocidas (valor predeterminado), el usuario puede aceptar la clave y el proceso de autenticación continúa en el siguiente paso. Si se obliga a realizar una comprobación estricta de claves del host, el cliente finaliza la conexión.
   Encuentra una clave del host y la copia del cliente no coincide con la clave enviada por el servidor	El cliente muestra una advertencia que indica que la clave no coincide con la clave actual y muestra la huella digital de la clave indicada por el servidor. Si el cliente está configurado para permitir al usuario aceptar claves desconocidas (valor predeterminado), el usuario puede aceptar la clave nueva. Si se obliga a realizar una comprobación estricta de claves del host, el cliente finaliza la conexión.

4. Para confirmar que el servidor contiene realmente la clave privada que se corresponde con la clave pública recibida, el cliente le envía una validación (un mensaje arbitrario) al servidor y computa una huella digital basada en este mensaje de texto.

   También llamada síntesis del mensaje, una huella digital o valor de huella digital es un número de una longitud fija que se genera a partir de datos digitales de longitud variable. La huella digital es sustancialmente menor que los datos originales y se genera mediante una fórmula tal que resulta estadísticamente improbable que otros datos produzcan el mismo valor de huella digital.

5. El servidor crea una firma digital basándose en el mensaje de validación. Para hacerlo, el servidor computa de forma independiente la huella digital del mensaje y, a continuación, cifra el resultado mediante su clave privada. El servidor adjunta esta firma digital al mensaje de verificación original y le devuelve este mensaje firmado al cliente.
6. El cliente descifra la firma usando la clave pública y compara la huella digital con su propia huella digital computada. Si los valores coinciden, la autenticación del host se completa con éxito.