Não é exatamente claro o que você está perguntando aqui. Quer dizer que você ainda quer permitir o login do par de chaves para este usuário? Você disse "say root" - mas é o usuário root? O usuário root é sempre um caso especial.
A outra questão gritante é por quê? Se houver alguém que você não queira permitir em seu sistema, a última coisa que você deve fazer é fornecer uma API para que ele ataque.
Lendo nas entrelinhas, parece que você está usando o Opensshd no Linux (seria útil indicar explicitamente quais versões do aplicativo e do sistema operacional você está usando).
Deixando isso de lado ...
O nome de usuário enviado ao servidor pelo cliente é enviado após a criptografia ter sido negociada. Então você não pode simplesmente fazer proxy e redirecionar a conexão.
O que você pode fazer é dizer ao sshd para usar o PAM e configurar uma política apropriada para negar o acesso, independentemente da senha fornecida, a usuários específicos. Embora existam muitas maneiras de fazer isso, usar pam_listfiles significa que você pode mover um monte de configuração para fora da própria pilha de pam (há uma boa chance de você se desligar do servidor, reduzindo a quantidade de ajustes com a configuração do pam mitiga isso).