您的问题中有一个关键的混淆，这里的答案没有指出：ServerKeyBits 与主机密钥无关。事实上，它在今天几乎是无关紧要的，因为它只适用于 SSH 协议版本 1，它已经过时多年，不应再使用。

如果您熟悉设置 OpenSSH 服务器，那么在操作上也应该清楚 sshd 配置设置本身不能增加主机密钥的大小——它位于磁盘上的文件中（例如 /etc/ssh/ssh_host_rsa_key{ .pub}) 并单独生成一次。

协议 1 中的“服务器密钥”是第二个 RSA 密钥——与主机密钥不同——用于实现前向保密。它是短暂的，由服务器在启动时生成，定期更换（默认每小时一次），并且从不写入磁盘。客户端用服务器密钥加密对称会话密钥并发送给服务器；此消息通过使用主机密钥对其进行签名来进行身份验证。在协议 2 中，前向保密是用 Diffie-Hellman 实现的。

因此，足够强大的服务器密钥很重要，因为如果攻击者可以恢复它，他就可以读取记录的 SSH 会话或篡改当前会话（因为他拥有会话加密和 MAC 密钥）。正如先前的回答所指出的，按照今天的标准，768 位的 RSA 密钥太短了。

简短回答：主机密钥是服务器的公钥，该密钥用于建立共享密钥（对称加密密钥），因此它必须足够强大以抵御暴力攻击。

详细说明： 首先您需要了解非对称加密或公私钥加密的工作原理。每个系统都有一个由私钥和公钥组成的密钥对。顾名思义，公钥是要公开的，或者换句话说，可以在没有任何安全隐患的情况下分发给全世界，而私钥是保密的，只有系统可以使用它。这种设置的基本数学概念是，如果使用公钥加密消息，则只能使用相应的私钥解密，反之亦然。

这种非对称加密用于 SSH 建立安全会话，该会话使用对称加密。这种对称加密 ( K_sys) 的密钥是使用公私密钥加密交换的。此外，客户端-服务器之间的所有通信都使用此 K_sys 进行加密。

由于通信的所有保密性都取决于 的保密性K_sys，因此公私密钥加密的安全性至关重要，因为它被用于共享密钥。并且为了确保足够的保密性，密钥强度是需要考虑的重要参数之一。有了

附加信息： 768 位 RSA 密钥在 2010 年被成功破解，预计随着计算的进步，1024 位将在未来十年变得脆弱。因此，建议在不久的将来将关键强度增加到 2048。

这些指南中还包括设置

PasswordAuthentication no

所以用户甚至不应该期望输入密码。如果他们在通常不需要输入密码的情况下如此不知道要输入密码，那么他们不会只是盲目地接受不同的主机密钥吗？那么如果攻击者有密码，那又如何呢？无论如何，服务器上都禁用了密码身份验证，因此他们仍然无法登录。

这正是禁用密码验证的关键——因此如果攻击者拥有用户密码，他们将无法登录。特别是，您试图避免允许通过具有不安全密码的用户帐户（例如测试帐户）访问您的计算机。