Este modelo é chamado de confiança na primeira utilização . Você é obrigado a verificar manualmente a identidade do servidor ao qual está se conectando pela primeira vez. Depois de verificar, o cliente SFTP armazenará o valor localmente e nas conexões subsequentes, verifique se a identidade do servidor está automaticamente comparando-a com o valor armazenado. Se ele mudar, ele exibirá um aviso de um possível ataque man-in-the-middle.
Você deve verificar a assinatura do servidor por meio de um canal separado (se for público, por exemplo, verificando o site HTTPS que lista seu valor ou sugerido ao entrar em contato com o administrador do sistema) e compará-lo com o exibido pelo Cliente SFTP.
Se você não verificar, estará correndo o risco de se conectar a um servidor hostil, que pode ter versões diferentes / modificadas dos arquivos, se baixar, ou revelar o conteúdo dos arquivos enviados para o arquivo (malicioso). proprietário do servidor.