Como a verificação da chave do host impede o ataque Man in the Middle?

como a chave do host está disponível publicamente, é possível alguém falsificar o servidor copiando e usando essa chave do host?

Não. A chave pública do servidor está disponível publicamente. Para falsificar o servidor é preciso sua chave privada . Eles são diferentes, estão matematicamente conectados, formam um par . A matemática por trás deles torna a derivação da chave privada da chave pública muito, muito difícil (computacionalmente cara).

Conhecendo a chave pública do servidor (no seu local ~/.ssh/known_hosts), seu cliente SSH pode construir um "quebra-cabeça" para o servidor resolver. Resolver esse quebra-cabeça é fácil se e somente se o servidor souber a chave privada correspondente. Portanto, se o servidor resolver o quebra-cabeça, seu cliente saberá que o servidor possui a chave privada correta, portanto, é o servidor genuíno.

E o contrário: quando você quer se autenticar com sua chave privada, o servidor (tendo sua chave pública ~/.ssh/authorized_keysdo usuário que você quer fazer login) cria um "quebra-cabeça" para o seu cliente SSH resolver. Resolver esse quebra-cabeça é fácil se e somente se o cliente souber a chave privada correspondente, ou seja, sua chave privada. Seu cliente sabe disso, resolve o quebra-cabeça e o servidor sabe que é você.

Potenciais spoofers podem conhecer a chave pública do servidor. Isso permite que eles verifiquem se o servidor real é genuíno (construindo um quebra-cabeça), mas eles ainda não podem representar o servidor porque não podem resolver facilmente o quebra-cabeça de outra pessoa (por exemplo, seu) projetado para verificar a autenticidade do servidor. Eles precisam da chave privada do servidor para fazer isso.

Da mesma forma, se alguém conhece sua chave pública, mas não sua chave privada, eles não podem se autenticar em servidores nos quais você pode se autenticar (com sua chave privada).

As chaves privadas devem ser mantidas em segredo.

Além disso, o cliente e o servidor criptografam a comunicação usando uma chave de sessão. Eles começam cada um escolhendo algum segredo (aleatório) e algumas informações facilmente derivadas do segredo. Eles trocam as informações derivadas e ambos chegam a uma chave de sessão secreta idêntica. A matemática por trás do processo faz com que derivar a chave de sessão (ou os segredos iniciais) das informações trocadas seja muito, muito difícil (computacionalmente caro). Um observador externo não pode prever a chave de sessão. Mas o segredo inicial e as informações recebidas da outra extremidade são suficientes para obter a mesma chave em ambas as extremidades. A chave depende de ambos os segredos iniciais, portanto, nenhuma extremidade pode forçar alguma chave específica.

Isso acontece antes da autenticação. De fato, os procedimentos de autenticação usam a chave de sessão para construir "quebra-cabeças". Graças a isso, um homem no meio que joga o servidor na frente do cliente, e joga o cliente na frente do servidor, não pode simplesmente retransmitir quebra-cabeças e suas soluções. Sua comunicação com o cliente utilizará uma chave de sessão diferente da comunicação com o servidor. Ele poderia transmitir dados descriptografando com uma chave e criptografando com a outra. Mas se ele retransmitir um quebra-cabeça, a chave de sessão embutida no quebra-cabeça não corresponderá ao que a outra extremidade espera. A autenticação falhará. O homem no meio precisa realmente resolver quebra-cabeças para retransmiti-los (ou melhor, "traduzi-los" de uma chave de sessão para outra). Ou ele precisa construir quebra-cabeças independentes.

Para resumir: sem conhecer a chave privada do servidor, os invasores não podem representar o servidor por conta própria, nem podem retransmitir a autenticação do servidor genuíno.