हां, सार्वजनिक कुंजी से निजी कुंजी को पुनर्प्राप्त करना असंभव है। यदि यह संभव था, तो आरएसए मौलिक रूप से टूट जाएगा, और यह प्रमुख समाचार होगा (आरएसए को तोड़ने से न केवल बहुत सारे इंटरनेट संचार सुरक्षा टूट जाएगी, बल्कि सभी प्रकार के बैंकिंग धोखाधड़ी को भी दूसरों के बीच अनुमति देगा)।
वास्तव में एक पासवर्ड के बजाय एक सार्वजनिक कुंजी के साथ लॉग इन करने से सुरक्षा बढ़ जाती है। यदि आपका पासवर्ड पर्याप्त मजबूत नहीं है, तो यह पर्याप्त बैंडविड्थ के साथ एक हमलावर द्वारा क्रूर-मजबूर किया जा सकता है। यदि हमलावर के पास आपकी निजी कुंजी फ़ाइल की प्रतिलिपि नहीं है, तो RSA कुंजी प्रभावी रूप से जानवर-मजबूर नहीं हो सकती है (1024-बिट कुंजी यादृच्छिक केस-संवेदी अक्षरों और अंकों से बने 160-वर्ण पासवर्ड की तरह है) । आपके कंधे पर नज़र रखने वाला कोई व्यक्ति आपके पासवर्ड और आपके कुंजी पासफ़्रेज़ को देख सकता है, लेकिन एक कुंजी के साथ उन्हें कुंजी प्राप्त करने की भी आवश्यकता होगी।
निजी कुंजी हमेशा पासवर्ड से अधिक सुरक्षित नहीं होती हैं। यदि हमलावर को आपकी निजी कुंजी फ़ाइलों (उदाहरण के लिए आपके लैपटॉप या आपके बैकअप मीडिया को चुराकर) की एक प्रति प्राप्त होती है, तो वह पासफ़्रेज़ को भंग करने की कोशिश कर सकती है, और वह इसे उच्च गति से कर सकती है क्योंकि आपके पास कोई सीमा नहीं है। दर (पासवर्ड अनुमान के विपरीत जो ऑनलाइन किए जाने की आवश्यकता है)। यदि आपका पासफ़्रेज़ पर्याप्त रूप से अच्छा है और आप तुरंत चोरी की सूचना देते हैं, तो आपके पास कुंजी को फिर से जारी करने का समय होगा।
एक सार्वजनिक कुंजी गोपनीयता जोखिम के एक तत्व का परिचय देती है: अगर कोई जानता है कि आपने ए को लॉग इन करने के लिए और बी में लॉग इन करने के लिए एक ही सार्वजनिक कुंजी का उपयोग किया है, तो वे जानते हैं कि ए और बी में लॉग इन किया हुआ एक ही व्यक्ति सार्वजनिक कुंजी रखता है। एक संदेह है कि आपके पास भी निजी कुंजी है, इसलिए आप कुछ असंगति खो देते हैं। लेकिन यह आमतौर पर मामूली है, खासकर यदि आप केवल उस कुंजी को स्टोर कर रहे हैं ~/.ssh
जिसमें केवल सिस्टम एडमिनिस्ट्रेटर (जो यह भी जानते हैं कि आपके द्वारा लॉग इन किया गया आईपी पता क्या है) इसे देख सकते हैं।
इन सुरक्षा कारणों से अलग, एक निजी कुंजी के कई व्यावहारिक फायदे हैं। आपको अपना पासवर्ड इतनी बार टाइप करने की आवश्यकता नहीं है, और विशेष रूप से स्वचालित स्क्रिप्ट चला सकते हैं जो आपको ssh- एजेंट या इस तरह अपनी कुंजी दर्ज करने के बाद तुरंत संकेत नहीं देते हैं। आपको अपना पासवर्ड इतनी बार टाइप करने की आवश्यकता नहीं है, इसलिए आप इसे उच्च-एन्ट्रापी (लंबे समय तक टाइप करने के लिए कठिन) बना सकते हैं। आपको अपना पासवर्ड बार-बार टाइप करने की आवश्यकता नहीं है, इसलिए यह कम जोखिम है कि इसे मानव पर्यवेक्षक या कैमरे द्वारा स्नूप किया जाएगा।