主机密钥用于签署 Diffie-Hellman 参数。在密钥交换期间使用；RSA是一种签名算法，也是一种加密算法。据我所知，客户端密钥 (in authorized_keys) 根本不用于密钥交换；它仅在密钥交换后用于对特定消息进行签名并证明客户端具有私钥（签名的 DH 参数的一侧足以防止 MITM，因为攻击者无法同时冒充客户端和服务器；它更容易服务器总是必须有一个密钥对，而不是让客户端总是必须有一个密钥对）。

SSH 使用 DH 的方式是一种临时算法：DH 参数是为单个会话生成的，一旦不再需要它们就会被销毁。持久密钥对的唯一用途是身份验证。这提供了前向保密：窃取私钥不会让您解密旧会话。

如果使用 RSA加密会话密钥，那么记录该会话的人在 SSH 服务器退役多年后购买并从其硬盘驱动器中获取私钥的人可以使用它来解密会话密钥，并使用它来阅读整个通讯。如果使用 RSA 对 DH 参数进行签名，那么利用被盗私钥的唯一方法是中间人攻击，并且可以通过服务器操作员更改密钥并告知所有用户改变了键。使用临时密钥交换，解密记录会话所需的任何内容都不会存储得比它必须的时间更长。

这也是 TLS 会话越来越频繁使用的配置（在那里，证书有过期日期，私钥甚至不必在过期后严格保密，因为它不应该在男人身上使用-in-the-middle 攻击；它是，因为用户会忽略过期的证书，但你可以看到为什么临时加密很好）。