两个系统如何能够通过公共连接建立安全的SSH隧道？

Question

据我所知，当两个系统创建一个安全的SSH隧道时，第一步涉及到通信该隧道加密的“指南”。如果第三个系统能够侦听这个最初的对话，它难道不能解码所有通过隧道发送的数据吗？如果最初的对话是通过公共连接进行的，隧道是如何安全的？

Answer 1

虽然问题是关于SSH的，但与SSL相同的概念也适用，所以见这个答案解释了这一切。

简短的总结:这是魔法。准确地说，是非对称密码学魔法。

Answer 2

好的老保险箱和两把锁的类比：

爱丽丝有一个保险箱，上面有给鲍勃的口信。(消息就是您所称的the 'guidelines' for the encryption of that tunnel)。她用锁把保险柜上的信息锁上(并保留钥匙)。Bob收到保险柜，但无法打开它。相反，他在保险柜上加了锁，把保险柜寄回给爱丽丝爱丽丝，现在他确信保险柜被鲍勃的锁锁住了，拿走了这里自己的锁(用她的私钥)，然后把保险柜送回来，鲍勃收到保险柜，他的锁只放在保险柜上，现在可以打开它了。

这是在公共网络上交换私有信息的基本原理，每个参与者都有一个不对称的密钥。

通过这种机制，Alice和Bob能够交换关于如何建立加密连接的信息。