Die Authentifizierung über OpenSSH Keys haben wir schon angesprochen. Das Ganze hat aber ein paar Unschönheiten. Zum einen muss der Public Key erstmal in die authorized_keys Datei des Servers gelangen (siehe ssh-copy-id), wozu erstmal ein Passwort erforderlich ist. Passworte haben aber die unangenehme Eigenschaft abzulaufen und daher regelmäßig geändert werden müssen, auch wenn man sie gar nicht benutzt.
Will man die Berechtigung zentral verwalten meist die Passwort Authentifizierung im SSH abgeschaltet um sicherzustellen, das die Server nur von ausgewähltem Personal erreicht werden können. Darüberhinaus kommen auch SSH private Keys, genau wie Passworte, schon mal abhanden, sind also „verbrannt“. Aus Sicherheitsgründen sollten also auch die Key Pairs regelmässig ausgewechselt werden. Also muss auch das Alter eines Keys nachgehalten werden.
All diese Dinge können ad acta gelegt werden, wenn man die Keys authorisiert und diese Authorisierung im Key hinterlegt. Wenn man nun der authorisierenden Stelle (oder Person) vertraut, reicht es aus, wenn ein SSH Key unterschrieben (digita signiert) ist.

Genauso, wie der Server ein Interesse daran hat, die User zu authentifizieren, benötigt auch der Benutzer eine Möglichkeit den Server als vertrauenswürdig zu erkennen. OpenSSH bietet nicht nur die Möglichkeit, den Key des Benutzers zu signieren sondern auch den des Servers. Auch die OpenSSH Hostkeys können also signiert werden und der User kann die Signatur des Hostkeys prüfen.
Nun aber in Media Res: