Digamos que forneça a alguém a minha chave SSH pública, o id_rsa.pub, e ele a instale em um servidor comprometido e solicite o login.
O processo de login envolve enviar minha chave privada para o servidor comprometido?
Se sim, o invasor agora tem acesso à minha chave SSH privada, e isso é assustador.
Se não, então por que vejo esta linha na saída ssh -vvv:
debug1: Server accepts key: pkalg ssh-rsa blen 277
Isso implica que a chave privada foi enviada ao servidor e a aceitou.
Estou entendendo mal o problema?
debug1: Offering RSA public key: <$HOME>/.ssh/id_rsa
que faz pensar que a chave privada está sendo compartilhada, mesmo que o id_rsa.pub já tenha sido compartilhado.