Нет ли в sshd возможности заменить паблик ключ K, посланный клиентом для установления сессии, на некую функцию этого ключа f(K)?
Например, у меня есть сервер A с ключом (PK, SK), PK притом добавлен в authorized_keys сервера B.
Клиент C обращается к А за токеном Z, который позволил бы устанавливать ssh session c B (в течение суток, например).
A генерирует ключ (P, S) и шифрует PK этим ключом P (получается Z), так чтобы С не узнал самого PK. А секретный ключ посылает B, чтобы тот мог расшифровать Z и убедиться что это authorized key и установить session. Конечно, надо еще сделать MAC чтобы не принимать этот Z когда 24 часа пройдет, но это пока не важно.
Можно ли влезть в authentication sshd и заменить Z на Decrypt(Z, S)?
