PFS riguarda la resistenza al compromesso chiave, non la crescente potenza computazionale.
Se hai paura dei computer convenzionali più veloci, utilizza dimensioni chiave sufficienti. per esempio. una chiave RSA a 4096 bit o una chiave ECC da 256 a 512 bit. Almeno per il caso chiave ECC a 512 bit, possiamo tranquillamente affermare che i computer convenzionali che stanno diventando più veloci non rappresentano una minaccia.
Sfortunatamente le grandi chiavi RSA diventano piuttosto lente, quindi ad alti livelli di sicurezza è preferibile l'ECC.
Per SSL il modo più semplice per ottenere la riservatezza di ECC è l'utilizzo delle suite ECDHE forward avanzate. Ma che queste suite offrono sia PFS che livelli di sicurezza più elevati è puramente casuale, il livello di sicurezza in bit e PFS non sono direttamente correlati.
= > Vai con le suite ECDHE dove disponibili. Offrono entrambi PFS e livelli di sicurezza più elevati con prestazioni decenti.
Per la sicurezza a lungo termine, mi preoccuperei di più dei computer quantistici, che uccidono sia ECC che RSA usando l'algoritmo di Shor e i progressi matematici che potrebbero violare uno di essi o entrambi.