Authentification hôte à l'aide de clés publiques

Reflection accepte deux types d'authentification hôte : par clé publique ou par certificat (qui est une forme spéciale d'authentification par clé publique).

L'authentification de l'hôte par clé publique se déroule de la façon suivante :

1. Le client Secure Shell initie une connexion.
2. Le serveur envoie sa clé publique au client.
3. Le client recherche la clé dans sa liste de clés hôte approuvées.

   Si le client	L'événement suivant se produit
   Trouve la clé hôte et l'exemplaire client correspond à la clé envoyée par le serveur	L'authentification se poursuit.
   Ne trouve pas la clé hôte	Le client affiche un message indiquant que l'hôte est inconnu et fournit une empreinte numérique de la clé hôte. Si la configuration du client permet à l'utilisateur d'accepter les clés inconnues (paramètre par défaut), celui-ci peut accepter la clé. L'authentification se poursuit. Si un contrôle strict des clés hôte est appliqué, le client met fin à la connexion.
   Trouve la clé hôte et l'exemplaire client ne correspond pas à la clé envoyée par le serveur	Le client affiche un avertissement indiquant que la clé ne correspond pas à l'exemplaire qu'il possède et affiche une empreinte numérique de la clé envoyée par le serveur. Si la configuration du client permet à l'utilisateur d'accepter les clés inconnues (paramètre par défaut), celui-ci peut accepter la nouvelle clé. Si un contrôle strict des clés hôte est appliqué, le client met fin à la connexion.

4. Pour s'assurer que le serveur possède effectivement la clé privée correspondant à la clé publique reçue, le client envoie un essai (un message arbitraire) au serveur et calcule un hachage à partir du texte de ce message.

   Également appelé synthèse de message, le hachage est un nombre de longueur fixe créé à partir de données numériques de longueur variable. Le hachage est nettement plus petit que les données d'origine. Il est produit par une formule de telle manière qu'il est très peu probable que d'autres données produisent la même valeur de hachage.

5. Le serveur crée une signature numérique à partir du message d'essai. Pour cela, il calcule indépendamment le hachage du message qu'il chiffre à l'aide de sa clé privée. Il joint sa signature numérique à l'essai initial et renvoie le message signé au client.
6. Le client déchiffre la signature à l'aide de la clé publique et compare le hachage du serveur au sien. Si les valeurs concordent, l'hôte est authentifié.