SSHv1

la clé de session est générée par le client

puis envoyée chiffrée avec la clé publique du serveur qu'il vient de recevoir
l'attaquant n'a qu'à utiliser n'importe quelle paire de clés publique / privée
et attendre que le client accepte d'utiliser cette clé publique.

authentification client par mot de passe :
envoyé en "clair" dans le tunnel chiffré

authentification client par RSA :
le serveur envoie au client un challenge chiffré avec une clé publique autorisée
le client prouve qu'il connait la clé privée en déchiffrant le challenge

sshmitm impose l'authentification par mot de passe dans sshv1.