<div dir="ltr">On Fri, Sep 6, 2013 at 6:49 PM, Marcus D. Leech <span dir="ltr"><<a href="mailto:mleech@ripnet.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=mleech@ripnet.com&cc=&bcc=&su=&body=','_blank');return false;">mleech@ripnet.com</a>></span> wrote:<br>

<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">It seems to me that while PFS is an excellent back-stop against NSA having/deriving a website RSA key</blockquote>

<div><br></div><div>Well, it helps against passive eavesdropping. However if the NSA has a web site's private TLS key, they can still MitM the traffic, even with PFS.</div><div><br></div><div>Likewise with "perfect" forward secrecy, they can collect and store all your traffic for the next 10-20 years when they get a large quantum computer, and decrypt your traffic then.</div>

<div><br></div><div>PFS is far from "perfect"</div></div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>