Probabilmente stai bene. L'accesso basato su chiave SSH è progettato per funzionare su reti non attendibili, senza esporre i dati chiave: una VPN, anche una che non controlli, non la modifica.
In nessun punto del processo di accesso è l'intera chiave privata inviata attraverso la rete - questo sarebbe un grosso difetto nel sistema, se fosse il caso, e renderebbe inutilizzabile l'accesso alla chiave SSH su Internet.
Per rubare la tua chiave, il provider VPN dovrebbe:
- Esegui un attacco MitM riuscito sulla tua connessione al server (che richiederebbe l'accesso alla tua chiave privata per avere successo)
e
- Immetti un comando nel tuo sistema per leggere la tua chiave privata o costringerti a inviarlo a un punto remoto una volta che hanno installato un MitM di successo.
Se si stesse utilizzando un software VPN di terze parti, ci sarebbe il rischio che leggendo la chiave direttamente dalla propria macchina, ma non più del rischio di qualsiasi altro software che si sta utilizzando.