Igen, egyrészről így van, másrészről meg ne felejtsük el, hogy idegen gépre ritkán ssh-zik az ember. Azaz mind a kliens, mind a szerver ugyanaz a security domain, és csak a szerveren lehetne ezzel a módszerrel a privát kulcsot ellopni, harmadik fél számára továbbra is lehetetlen lehallgatni az SSL titkosított csatornát. (Felteszem ssh-t jellemzően cégen belül használnak az emberek, külsös tárhelyszolgáltatónál pl. tipikusan cpanel vagy valami hasonló csoda szokott lenni, nem ssh.)
én nem ezt olvastam:
An attacker in possession of a few dozen signed messages and the public key has enough information to recover the private key