PFS ist ein Konzept das sicherstellt, dass die Sicherheit einer Sitzungsschlüsselaustauschs nicht von der Langzeitintegrität des privaten Schlüssels abhängt. Auch wenn der private Schlüssel eines Kommunikationsendpunkts kompromittiert wird, wird die Vertraulichkeit der vergangenen Kommunikationen nicht gefährdet.
Die PFS-Gruppe definiert die Stärke und die spezifischen Parameter des Diffie-Hellman-Schlüsselaustauschs. Sie legt fest, welche Primzahlen und Generatorwerte verwendet werden sollen, um den geheimen Schlüssel zu erzeugen. Typische PFS-Gruppen sind beispielsweise die Gruppe 1 (MODP 768 Bit), Gruppe 2 (MODP 1024 Bit), Gruppe 5 (MODP 1536 Bit), Gruppe 14 (MODP 2048 Bit) und Gruppe 19 (MODP 256 Bit mit elliptischen Kurven).