Authentification hôte à l'aide de clés publiques

Reflection accepte deux types d'authentification hôte : par clé publique ou par certificat (qui est une forme spéciale d'authentification par clé publique).

Lorsque vous utilisez une authentification d'hôte par clé publique, les étapes se déroulent comme suit.

1. Le client Secure Shell établit une connexion.
2. Le serveur envoie sa clé publique au client.
3. Le client recherche cette clé dans sa liste de clés hôte autorisées.

   Si le client	Voici ce qu'il se passe
   Trouve la clé hôte et que la copie client correspond à la clé envoyée par le serveur	L'authentification passe à l'étape suivante.
   Ne trouve pas la clé hôte	Le client affiche un message indiquant que l'hôte est inconnu et fournit une empreinte de la clé hôte. Si le client est configuré pour autoriser l'utilisateur à accepter des clés inconnues (option par défaut), l'utilisateur peut accepter la clé et l'authentification passe à l'étape suivante. Si un contrôle strict des clés hôte est appliqué, le client met fin à la connexion.
   Trouve une clé hôte et que la copie client ne correspond pas à la clé envoyée par le serveur	Le client affiche un avertissement indiquant que la clé ne correspond pas à la clé existante et affiche l'empreinte de la clé envoyée par le serveur. Si le client est configuré pour autoriser l'utilisateur à accepter des clés inconnues (option par défaut), l'utilisateur peut accepter la nouvelle clé. Si un contrôle strict des clés hôte est appliqué, le client met fin à la connexion.

4. Pour vérifier que le serveur possède effectivement la clé privée correspondant à la clé publique reçue, le client envoie un essai (message arbitraire) au serveur et calcule un hachage basé sur le texte de ce message.

   Également appelé « synthèse de message », le hachage ou valeur de hachage est un nombre de longueur fixe généré à partir de données numériques de longueur variable. Le hachage est beaucoup plus petit que les données d'origine et généré par une formule afin qu'il soit statistiquement peu probable que d'autres données produisent la même valeur de hachage.

5. Le serveur crée une signature numérique en fonction du message d'essai. Pour cela, le serveur calcule séparément le hachage du message, puis chiffre le hachage calculé à l'aide de sa clé privée. Le serveur annexe sa signature numérique à l'essai d'origine et renvoie ce message signé au client.
6. Le client déchiffre la signature à l'aide de la clé publique et compare le hachage au sien. En cas de correspondance des valeurs, l'authentification hôte aboutit.