Chcete-li získat Perfect Forward Secrecy, musíte použít pomíjivé klíče .

Se statickým Diffie-Hellmanem (eliptická křivka nebo ne, to není the issue), Alice and Bob both have a DH key pair: Alice's private key is a , public key is aG (eliptic curve notation, G je konvenční „základní bod“ pro křivku); Bobův soukromý klíč je b , veřejný klíč je bG . Když si Alice a Bob chtějí navzájem promluvit, udělají věc DH, což znamená, že skončí se sdílenou tajnou hodnotou abG . Vždy mají toto přesné sdílené tajemství. Pokud se útočníkovi podaří ukrást Alicin soukromý klíč ( a ), může přepočítat sdílené tajemství a dešifrovat tak všechny minulé i budoucí konverzace mezi Alicí a Bobem.

Ephemeral Diffie-Hellman je o generování párů klíčů DH „za chodu“ a nikde o nahrávání soukromých klíčů (soukromé klíče jsou uchovávány pouze v RAM a pouze po dobu konverzace). Nikdy by nemělo být zaznamenáno, aby byly tyto soukromé klíče imunní proti krádeži v postranní oblasti; odtud pochází PFS. Používá se v SSL / TLS v šifrovacích sadách „DHE“ (a „ECDHE“): server vlastní pár soukromého / veřejného klíče, přičemž veřejný klíč je v certifikátu a je vhodný pro podpisy (např. že dvojice klíčů je typu RSA nebo DSA). Když se klient připojí, klient i server vygeneruje nové páry klíčů DH; server podepíše svůj nově vygenerovaný veřejný klíč DH svým podpisovým klíčem (klient tento podpis ověří a ověří certifikát serveru). Klíč, který se ve skutečnosti používá k šifrování dat, je klíč odvozený z algoritmu Diffie-Hellman.

V případě šifrovacích sad DHE, pokud dojde ke krádeži soukromého klíče serveru, pak zloděj získá sílu pouze k výpočtu padělaných podpisů. Zloděj se pak může vydávat za server a ohrozit budoucí komunikaci spuštěním útoku Man-in-the-Middle, ale minulá připojení byla šifrována pomocí jde o DH klíče, které již byly dlouho ztraceny, a proto nebudou útočníkem dešifrovány. To je PFS.