Да, сервер хранит открытый ключ, а клиент хранит закрытый ключ. Функция безопасности, предотвращающая использование похищенных личных ключей для вора, заключается в их шифровании. Фраза-пароль позволяет вам расшифровать закрытый ключ, чтобы использовать его. Без ключевой фразы ключ бесполезен.
Вы знаете, зашифрован ли ключ обычно, посмотрев на заголовок PEM, окружающий его. Например, закрытый ключ DSA, зашифрованный с помощью 3DES в формате PEM, может выглядеть следующим образом:
-----BEGIN DSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,BF6892D860EC969F
<encrypted key data here>
-----END DSA PRIVATE KEY-----
В то время как незашифрованный закрытый ключ DSA в формате PEM не будет иметь заголовка, говорящего о том, что он зашифрован:
-----BEGIN DSA PRIVATE KEY-----
<unencrypted key data here>
-----END DSA PRIVATE KEY-----