Per le suite di crittografia RSA o DH (non DHE), è sufficiente la chiave privata del server, di tipo RSA o DH, rispettivamente (i certificati DH sono estremamente rari).
Per le suite di crittografia DHE, è necessaria la chiave privata Diffie-Hellman generata dinamicamente. Questa chiave non viene mai memorizzata da nessuna parte, e questo è in base alla progettazione. Di conseguenza, non è possibile decrittografare i dati in seguito. Questo è chiamato Perfect Forward Secrecy .
Per la suite di crittografia TLS con un segreto precondiviso : le suite di crittografia PSK raw possono essere decifrate con la conoscenza del segreto condiviso; Le suite RSA_PSK richiedono la conoscenza sia del segreto condiviso che della chiave privata RSA; Le suite DHE_PSK offrono una perfetta segretezza in avanti.
Le suite di crittografia
SRP offrono anche un perfetto segreto in avanti. Anche in questo caso, questo è in base alla progettazione: se la conoscenza della password fosse sufficiente per decrittografare una connessione registrata, ciò consentirebbe attacchi al dizionario offline , precisamente ciò che SRP intende contrastare.