ในด้านการเข้ารหัสลับความลับแบบส่งต่อ ( FS ) หรือที่รู้จักกันในชื่อความลับแบบส่งต่อที่สมบูรณ์แบบ ( PFS ) เป็นคุณลักษณะของโปรโตคอลการตกลงคีย์ เฉพาะ ที่ให้ความมั่นใจว่าคีย์เซสชันจะไม่ถูกบุกรุกแม้ว่าความลับระยะยาวที่ใช้ในการแลกเปลี่ยนคีย์เซสชันจะถูกบุกรุก ซึ่งจะช่วยจำกัดความเสียหาย^{[ 1 ] [ 2 ] [ 3 ]}สำหรับTLSความลับระยะยาวมักจะเป็นคีย์ส่วนตัวของเซิร์ฟเวอร์ ความลับแบบส่งต่อจะปกป้องเซสชันที่ผ่านมาจากการบุกรุกคีย์หรือรหัสผ่านในอนาคต โดยการสร้างคีย์เซสชันที่ไม่ซ้ำกันสำหรับทุกเซสชันที่ผู้ใช้เริ่มต้น การบุกรุกคีย์เซสชันเดียวจะไม่ส่งผลกระทบต่อข้อมูลอื่นใดนอกเหนือจากข้อมูลที่แลกเปลี่ยนในเซสชันเฉพาะที่ได้รับการปกป้องโดยคีย์นั้นๆ อย่างไรก็ตาม นี่เพียงอย่างเดียวไม่เพียงพอสำหรับความลับแบบส่งต่อ ซึ่งยังต้องการเพิ่มเติมว่าการบุกรุกความลับระยะยาวจะไม่ส่งผลกระทบต่อความปลอดภัยของคีย์เซสชันที่ผ่านมา

การรักษาความลับแบบส่งต่อจะปกป้องข้อมูลบนเลเยอร์การขนส่งของเครือข่ายที่ใช้โปรโตคอลความปลอดภัยของเลเยอร์การขนส่งทั่วไป รวมถึง^{OpenSSL [} 4 ] ^{เมื่อคีย์}ลับระยะยาวถูกบุกรุก เช่นเดียวกับ ช่องโหว่ด้านความปลอดภัย Heartbleedหากใช้การรักษาความลับแบบส่งต่อ การสื่อสารและเซสชันที่เข้ารหัสซึ่งบันทึกไว้ในอดีตจะไม่สามารถเรียกคืนและถอดรหัสได้หากคีย์ลับระยะยาวหรือรหัสผ่านถูกบุกรุกในอนาคต แม้ว่าฝ่ายตรงข้ามจะเข้ามาแทรกแซงอย่างแข็งขัน เช่น ผ่านการโจมตีแบบคนกลาง (MITM)ก็ตาม

ข้อดีของการรักษาความลับแบบส่งต่อ (Forward Secrecy) คือการปกป้องการสื่อสารในอดีต ซึ่งช่วยลดแรงจูงใจของผู้โจมตีในการบุกรุกกุญแจ ตัวอย่างเช่น หากผู้โจมตีรู้กุญแจระยะยาว แต่ตรวจพบการบุกรุกและกุญแจระยะยาวถูกยกเลิกและอัปเดตใหม่ ข้อมูลที่รั่วไหลในระบบที่มีการรักษาความลับแบบส่งต่อจะมีน้อยมาก

คุณค่าของการรักษาความลับแบบส่งต่อ (Forward Secrecy) ขึ้นอยู่กับความสามารถที่คาดการณ์ไว้ของฝ่ายตรงข้าม การรักษาความลับแบบส่งต่อจะมีคุณค่าหากคาดการณ์ว่าฝ่ายตรงข้ามสามารถเข้าถึงคีย์ลับจากอุปกรณ์ได้ (การเข้าถึงแบบอ่าน) แต่ถูกตรวจจับได้หรือไม่อาจแก้ไขวิธีการสร้างคีย์เซสชันในอุปกรณ์ได้ (การเจาะระบบอย่างสมบูรณ์) ในบางกรณี ฝ่ายตรงข้ามที่สามารถอ่านคีย์ระยะยาวจากอุปกรณ์ได้ อาจสามารถแก้ไขการทำงานของตัวสร้างคีย์เซสชันได้เช่นกัน ดังเช่นในกรณีของDual Elliptic Curve Deterministic Random Bit Generator ที่ มี ช่องโหว่ หากฝ่ายตรงข้ามสามารถทำให้ตัวสร้างเลขสุ่มสามารถคาดเดาได้ การรับส่งข้อมูลในอดีตจะได้รับการปกป้อง แต่การรับส่งข้อมูลในอนาคตทั้งหมดจะถูกบุกรุก

คุณค่าของการรักษาความลับแบบส่งต่อ (forward secrecy) ถูกจำกัดไม่เพียงแต่ด้วยสมมติฐานที่ว่าฝ่ายตรงข้ามจะโจมตีเซิร์ฟเวอร์โดยการขโมยคีย์เท่านั้น และจะไม่แก้ไขตัวสร้างเลขสุ่มที่เซิร์ฟเวอร์ใช้ แต่ยังถูกจำกัดด้วยสมมติฐานที่ว่าฝ่ายตรงข้ามจะเก็บรวบรวมข้อมูลการสื่อสารบนลิงก์การสื่อสารแบบพาสซีฟเท่านั้น และจะไม่โจมตีแบบ man-in-the-middle อย่างแข็งขัน โดยทั่วไปแล้ว การรักษาความลับแบบส่งต่อจะใช้การแลกเปลี่ยนคีย์ Diffie–Hellman แบบชั่วคราว เพื่อป้องกันการอ่านข้อมูลการสื่อสาร การแลกเปลี่ยนคีย์ Diffie–Hellman แบบชั่วคราวมักจะลงนามโดยเซิร์ฟเวอร์โดยใช้คีย์ลงนามแบบคงที่ หากฝ่ายตรงข้ามสามารถขโมย (หรือได้รับผ่านคำสั่งศาล) คีย์ลงนามแบบคงที่ (ระยะยาว) นี้ได้ ฝ่ายตรงข้ามสามารถปลอมตัวเป็นเซิร์ฟเวอร์ต่อไคลเอนต์และเป็นไคลเอนต์ต่อเซิร์ฟเวอร์ และดำเนินการโจมตีแบบ man-in-the-middle แบบคลาสสิกได้^{[ 5 ]}

คำว่า "perfect forward secrecy" ถูกบัญญัติโดย CG Günther ในปี 1990 ^{[ 6 ]}และมีการพูดคุยเพิ่มเติมโดยWhitfield Diffie , Paul van Oorschotและ Michael James Wiener ในปี 1992 ^{[ 7 ]}ซึ่งใช้เพื่ออธิบายคุณสมบัติของโปรโตคอล Station-to-Station ^{[ 8 ]}

ความลับแบบส่งต่อยังถูกนำมาใช้เพื่ออธิบายคุณสมบัติที่คล้ายคลึงกันของ โปรโตคอล การตกลงคีย์ที่ตรวจสอบความถูกต้องด้วยรหัสผ่านโดยที่ความลับระยะยาวคือรหัสผ่าน ( ที่ใช้ร่วมกัน) ^{[ 9 ]}

ในปี พ.ศ. 2543 IEEEได้ให้สัตยาบันIEEE 1363 เป็นครั้งแรก ซึ่งกำหนดคุณสมบัติการรักษาความลับแบบส่งต่อฝ่ายเดียวและสองฝ่ายที่เกี่ยวข้องของแผนการตกลงคีย์มาตรฐานต่างๆ^{[ 10 ]}

ระบบการเข้ารหัสจะมีคุณสมบัติการรักษาความลับไปข้างหน้า หากการตรวจสอบข้อมูลแบบข้อความธรรมดา (ที่ถอดรหัสแล้ว) ของการแลกเปลี่ยนข้อมูลที่เกิดขึ้นในระหว่างขั้นตอนการตกลงรหัสลับในการเริ่มต้นเซสชัน ไม่เปิดเผยรหัสลับที่ใช้ในการเข้ารหัสส่วนที่เหลือของเซสชัน

ต่อไปนี้เป็นตัวอย่างสมมุติของโปรโตคอลการส่งข้อความโต้ตอบแบบทันทีอย่างง่ายที่ใช้การรักษาความลับแบบส่งต่อ (forward secrecy):

1. อลิซและบ็อบต่างสร้างคู่กุญแจสาธารณะและกุญแจส่วนตัวแบบอสมมาตร ระยะยาว จากนั้นตรวจสอบลายนิ้วมือของกุญแจสาธารณะด้วยตนเองหรือผ่านช่องทางที่ได้รับการรับรองแล้ว การตรวจสอบนี้จะช่วยให้มั่นใจได้ว่าเจ้าของกุญแจสาธารณะที่อ้างสิทธิ์นั้นเป็นเจ้าของตัวจริง
2. อลิซและบ็อบใช้ขั้นตอนวิธีแลกเปลี่ยนคีย์ เช่นDiffie–Hellmanเพื่อตกลงกันอย่างปลอดภัยเกี่ยวกับคีย์เซสชันชั่วคราว พวกเขาใช้คีย์จากขั้นตอนที่ 1 เพื่อตรวจสอบตัวตนซึ่งกันและกันในระหว่างกระบวนการนี้เท่านั้น
3. อลิซส่งข้อความถึงบ็อบ โดยเข้ารหัสด้วยการเข้ารหัสแบบสมมาตรโดยใช้คีย์เซสชันที่ตกลงกันไว้ในขั้นตอนที่ 2
4. บ็อบถอดรหัสข้อความของอลิซโดยใช้กุญแจที่ตกลงกันไว้ในขั้นตอนที่ 2
5. กระบวนการนี้จะทำซ้ำสำหรับข้อความใหม่แต่ละข้อความที่ส่ง โดยเริ่มต้นจากขั้นตอนที่ 2 (และสลับบทบาทของอลิซและบ็อบในฐานะผู้ส่ง/ผู้รับตามความเหมาะสม) ขั้นตอนที่ 1 จะไม่ทำซ้ำ

การรักษาความลับแบบส่งต่อ (โดยการสร้างคีย์เซสชันใหม่สำหรับแต่ละข้อความ) ช่วยให้มั่นใจได้ว่าการสื่อสารในอดีตจะไม่สามารถถอดรหัสได้หากคีย์ใดคีย์หนึ่งที่สร้างขึ้นในขั้นตอนที่ 2 ถูกบุกรุก เนื่องจากคีย์ดังกล่าวใช้ในการเข้ารหัสข้อความเพียงข้อความเดียวเท่านั้น การรักษาความลับแบบส่งต่อยังช่วยให้มั่นใจได้ว่าการสื่อสารในอดีตจะไม่สามารถถอดรหัสได้หากคีย์ส่วนตัวระยะยาวจากขั้นตอนที่ 1 ถูกบุกรุก อย่างไรก็ตาม การปลอมตัวเป็นอลิซหรือบ็อบอาจเป็นไปได้ในอนาคตหากเกิดเหตุการณ์ดังกล่าวขึ้น ซึ่งอาจส่งผลให้ข้อความทั้งหมดในอนาคตถูกบุกรุกได้

การรักษาความลับแบบส่งต่อ (Forward secrecy) ออกแบบมาเพื่อป้องกันการรั่วไหลของกุญแจลับระยะยาวไม่ให้ส่งผลกระทบต่อความลับของการสนทนาในอดีต อย่างไรก็ตาม การรักษาความลับแบบส่งต่อไม่สามารถป้องกันการวิเคราะห์ รหัส ลับที่ใช้ได้สำเร็จ เนื่องจากการวิเคราะห์รหัสลับประกอบด้วยการหาวิธีถอดรหัสข้อความที่เข้ารหัสโดยไม่ต้องใช้กุญแจ และการรักษาความลับแบบส่งต่อจะปกป้องเฉพาะกุญแจเท่านั้น ไม่ใช่ตัวรหัสลับเอง^{[ 11 ]}ผู้โจมตีที่มีความอดทนสามารถดักจับการสนทนาที่มีการรักษาความลับโดยใช้การเข้ารหัสแบบกุญแจสาธารณะและรอจนกว่ารหัสลับพื้นฐานจะถูกถอดรหัส (เช่นสามารถสร้างคอมพิวเตอร์ควอนตัม ขนาดใหญ่ที่ช่วยให้สามารถ คำนวณปัญหาลอการิทึมแบบไม่ ต่อเนื่องได้อย่างรวดเร็ว) หรือที่เรียกว่าการโจมตีแบบ เก็บเกี่ยวตอนนี้ ถอดรหัสในภายหลังซึ่งจะทำให้สามารถกู้คืนข้อความธรรมดาเก่าได้แม้ในระบบที่ใช้การรักษาความลับแบบส่งต่อ

โปรโตคอลการแลกเปลี่ยนคีย์แบบส่งต่อที่ปลอดภัยแบบไม่โต้ตอบต้องเผชิญกับภัยคุกคามเพิ่มเติมที่ไม่เกี่ยวข้องกับโปรโตคอลแบบโต้ตอบ ใน การโจมตี การระงับข้อความผู้โจมตีที่ควบคุมเครือข่ายอาจจัดเก็บข้อความไว้เองในขณะที่ป้องกันไม่ให้ข้อความไปถึงผู้รับที่ตั้งใจไว้ เนื่องจากข้อความไม่เคยได้รับ คีย์ส่วนตัวที่เกี่ยวข้องจึงอาจไม่ถูกทำลายหรือถูกเจาะ ดังนั้นการรั่วไหลของคีย์ส่วนตัวอาจนำไปสู่การถอดรหัสที่สำเร็จ การเลิกใช้คีย์ส่วนตัวตามกำหนดเวลาอย่างเป็นระบบจะช่วยลด แต่ไม่สามารถกำจัด การโจมตีนี้ได้ ใน การโจมตี การใช้คีย์จนหมดอย่างเป็นอันตรายผู้โจมตีจะส่งข้อความจำนวนมากไปยังผู้รับและใช้คีย์ส่วนตัวจนหมด บังคับให้โปรโตคอลต้องเลือกระหว่างการทำงานล้มเหลวแบบปิด (และทำให้เกิด การโจมตี แบบปฏิเสธการให้บริการ ) หรือการทำงานล้มเหลวแบบเปิด (และยอมเสียความลับแบบส่งต่อบางส่วน) ^{[ 12 ]}

โปรโตคอลการแลกเปลี่ยนคีย์ส่วนใหญ่เป็นแบบโต้ตอบซึ่งต้องมีการสื่อสารแบบสองทิศทางระหว่างฝ่ายต่างๆ โปรโตคอลที่อนุญาตให้ผู้ส่งส่งข้อมูลโดยไม่จำเป็นต้องได้รับการตอบกลับจากผู้รับก่อน อาจเรียกว่าแบบไม่โต้ตอบหรือ แบบอะซิ งโครนัสหรือแบบเวลาไปกลับเป็นศูนย์ (0-RTT) ^{[ 13 ] [ 14 ]}

การโต้ตอบเป็นภาระสำหรับแอปพลิเคชันบางอย่าง เช่น ในระบบส่งข้อความที่ปลอดภัย อาจเป็นที่พึงปรารถนาที่จะมี การใช้งานแบบ จัดเก็บและส่งต่อแทนที่จะกำหนดให้ผู้ส่งและผู้รับออนไลน์พร้อมกัน การผ่อนคลายข้อกำหนดแบบสองทิศทางยังสามารถปรับปรุงประสิทธิภาพได้แม้ว่าจะไม่ใช่ข้อกำหนดที่เข้มงวด เช่น ในการสร้างหรือการเริ่มต้นการเชื่อมต่อใหม่ กรณีการใช้งานเหล่านี้กระตุ้นความสนใจในการแลกเปลี่ยนคีย์แบบไม่โต้ตอบ และเนื่องจากความปลอดภัยแบบส่งต่อเป็นคุณสมบัติที่พึงปรารถนาในโปรโตคอลการแลกเปลี่ยนคีย์ จึงทำให้เกิดความสนใจในความลับแบบส่งต่อที่ไม่โต้ตอบ^{[ 15 ] [ 16 ]}การผสมผสานนี้ได้รับการระบุว่าเป็นที่ต้องการมาตั้งแต่ปี 1996 เป็นอย่างน้อย^{[ 17 ]}อย่างไรก็ตาม การรวมความลับแบบส่งต่อและการไม่โต้ตอบเข้าด้วยกันนั้นพิสูจน์แล้วว่าเป็นเรื่องท้าทาย^{[ 18 ]}มีข้อสงสัยว่าความลับแบบส่งต่อพร้อมการป้องกันการโจมตีแบบเล่นซ้ำนั้นเป็นไปไม่ได้หากไม่โต้ตอบ แต่ได้แสดงให้เห็นแล้วว่าเป็นไปได้ที่จะบรรลุความต้องการทั้งสามประการ^{[ 14 ]}

โดยทั่วไปแล้ว มีการสำรวจแนวทางสองทางสำหรับการรักษาความลับแบบส่งต่อที่ไม่โต้ตอบ ได้แก่คีย์ที่คำนวณไว้ล่วงหน้าและการเข้ารหัสที่สามารถเจาะได้^{[ 16 ]}

ด้วยคีย์ที่คำนวณไว้ล่วงหน้า จะมีการสร้างคู่คีย์จำนวนมากและแบ่งปันคีย์สาธารณะ โดยคีย์ส่วนตัวจะถูกทำลายหลังจากได้รับข้อความโดยใช้คีย์สาธารณะที่เกี่ยวข้อง วิธีการนี้ถูกนำไปใช้เป็นส่วนหนึ่งของโปรโตคอลSignal ^{[ 19 ]}

ในการเข้ารหัสแบบเจาะทะลุได้ ผู้รับจะแก้ไขคีย์ส่วนตัวของตนหลังจากได้รับข้อความในลักษณะที่คีย์ส่วนตัวใหม่ไม่สามารถอ่านข้อความได้ แต่คีย์สาธารณะยังคงไม่เปลี่ยนแปลงRoss J. Andersonได้อธิบายรูปแบบการเข้ารหัสแบบเจาะทะลุได้สำหรับการแลกเปลี่ยนคีย์ที่ปลอดภัยไปข้างหน้าอย่างไม่เป็นทางการในปี 1997 ^{[ 20 ]}และGreen & Miers (2015)ได้อธิบายระบบดังกล่าวอย่างเป็นทางการ^{[ 21 ]}โดยสร้างขึ้นจากรูปแบบที่เกี่ยวข้องของCanetti, Halevi & Katz (2003)ซึ่งแก้ไขคีย์ส่วนตัวตามกำหนดการเพื่อให้ข้อความที่ส่งในรอบก่อนหน้าไม่สามารถอ่านได้ด้วยคีย์ส่วนตัวจากรอบถัดไป^{[ 18 ]} Green & Miers (2015)ใช้การเข้ารหัสแบบอิงตัวตนตามลำดับชั้นและการเข้ารหัสแบบอิงคุณลักษณะในขณะที่Günther et al. (2017)ใช้โครงสร้างที่แตกต่างกันซึ่งสามารถอิงตามรูปแบบการเข้ารหัสแบบอิงตัวตนตามลำดับชั้นใดๆ ก็ได้^{[ 22 ]} Dallmeier et al. (2020)พบว่าจากการทดลอง การปรับเปลี่ยนQUICให้ใช้การแลกเปลี่ยนคีย์ที่ปลอดภัยแบบ 0-RTT ไปข้างหน้าและทนต่อการเล่นซ้ำ ซึ่งดำเนินการด้วยการเข้ารหัสที่เจาะทะลุได้ ส่งผลให้มีการใช้ทรัพยากรเพิ่มขึ้นอย่างมีนัยสำคัญ แต่ไม่มากจนทำให้การใช้งานจริงเป็นไปไม่ได้^{[ 23 ]}

ความลับส่งต่อที่สมบูรณ์แบบแบบอ่อน (WPF) เป็นคุณสมบัติที่อ่อนกว่าซึ่งเมื่อคีย์ระยะยาวของเอเจนต์ถูกบุกรุก ความลับของคีย์เซสชันที่สร้างขึ้นก่อนหน้านี้จะได้รับการรับประกัน แต่เฉพาะสำหรับเซสชันที่ฝ่ายตรงข้ามไม่ได้แทรกแซงอย่างแข็งขัน แนวคิดใหม่นี้และความแตกต่างระหว่างสิ่งนี้กับความลับส่งต่อได้รับการแนะนำโดย Hugo Krawczyk ในปี 2548 ^{[ 24 ] [ 25 ]} คำจำกัดความที่อ่อนกว่านี้โดยปริยายกำหนดให้ความลับส่งต่อแบบเต็ม (สมบูรณ์แบบ) รักษาความลับของคีย์เซสชันที่สร้างขึ้นก่อนหน้านี้แม้ในเซสชันที่ฝ่ายตรงข้ามแทรกแซงอย่างแข็งขันหรือพยายามทำหน้าที่เป็นคนกลาง

การรักษาความลับแบบส่งต่อ (Forward secrecy) มีอยู่ในโปรโตคอลหลายอย่าง เช่นSSHและIPsec (RFC 2412) แม้ว่าจะเป็นตัวเลือกเสริมใน IPsec ก็ตามOff-the-Record Messagingซึ่งเป็นโปรโตคอลการเข้ารหัสและไลบรารีสำหรับโปรแกรมส่งข้อความโต้ตอบแบบทันทีหลายตัว รวมถึงOMEMOซึ่งมีคุณสมบัติเพิ่มเติม เช่น ฟังก์ชันการใช้งานหลายผู้ใช้ในโปรแกรมเหล่านั้น ต่างก็ให้การรักษาความลับแบบส่งต่อและการเข้ารหัสแบบปฏิเสธได้ (Deniable encryption )

ในTransport Layer Security (TLS) ชุดการเข้ารหัสที่ใช้ การแลกเปลี่ยนคีย์ Diffie–Hellman (DHE- RSA , DHE- DSA ) และ การแลกเปลี่ยนคีย์ Diffie–Hellman แบบเส้นโค้งวงรี (ECDHE- RSA , ECDHE- ECDSA ) นั้นมีให้ใช้งาน ในทางทฤษฎี TLS สามารถใช้การรักษาความลับแบบส่งต่อได้ตั้งแต่ SSLv3 แต่การใช้งานหลายอย่างไม่ได้เสนอการรักษาความลับแบบส่งต่อหรือให้การเข้ารหัสที่มีระดับต่ำกว่า^{[ 26 ]} TLS 1.3 ได้ลบการสนับสนุน RSA สำหรับการแลกเปลี่ยนคีย์ ทำให้ Diffie–Hellman (พร้อมการรักษาความลับแบบส่งต่อ) เป็นอัลกอริทึมเดียวสำหรับการแลกเปลี่ยนคีย์^{[ 27 ]}

OpenSSLรองรับการรักษาความลับแบบส่งต่อโดยใช้Diffie–Hellman เส้นโค้งวงรีตั้งแต่เวอร์ชัน 1.0 ^{[ 28 ]}โดยมีค่าใช้จ่ายด้านการคำนวณประมาณ 15% สำหรับการจับมือครั้งแรก^{[ 29 ]}

โปรโตคอลสัญญาณใช้อัลกอริทึม Double Ratchetเพื่อให้การรักษาความลับแบบส่งต่อ^{[ 30 ]}

ในทางกลับกัน ในบรรดาโปรโตคอลยอดนิยมที่ใช้อยู่ในปัจจุบันWPA Personalไม่รองรับการรักษาความลับแบบส่งต่อก่อน WPA3 ^{[ 31 ]}

ตั้งแต่ปลายปี 2011 Google ได้ให้บริการการรักษาความลับแบบส่งต่อด้วย TLS เป็นค่าเริ่มต้นแก่ผู้ใช้ บริการ Gmail , บริการ Google Docsและบริการค้นหาที่เข้ารหัส^{[ 28 ]}ตั้งแต่เดือนพฤศจิกายน 2013 Twitterได้ให้บริการการรักษาความลับแบบส่งต่อด้วย TLS แก่ผู้ใช้^{[ 32 ]}วิกิที่โฮสต์โดยมูลนิธิวิกิมีเดียได้ให้บริการการรักษาความลับแบบส่งต่อแก่ผู้ใช้ตั้งแต่เดือนกรกฎาคม 2014 ^{[ 33 ]}และกำหนดให้ใช้การรักษาความลับแบบส่งต่อตั้งแต่เดือนสิงหาคม 2018

Facebook รายงานเป็นส่วนหนึ่งของการสอบสวนเกี่ยวกับการเข้ารหัสอีเมลว่า ณ เดือนพฤษภาคม 2014 โฮสต์ที่รองรับSTARTTLS ร้อยละ 74 ยังให้การรักษาความลับแบบส่งต่อด้วย^{[ 34 ]} TLS 1.3 ซึ่งเผยแพร่ในเดือนสิงหาคม 2018 ได้ยกเลิกการสนับสนุนการเข้ารหัสที่ไม่มีการรักษาความลับแบบส่งต่อ ณ เดือนกุมภาพันธ์ 2019 เซิร์ฟเวอร์เว็บที่สำรวจร้อยละ 96.6 รองรับการรักษาความลับแบบส่งต่อในรูปแบบใดรูปแบบหนึ่ง และร้อยละ 52.1 จะใช้การรักษาความลับแบบส่งต่อกับเบราว์เซอร์ส่วนใหญ่^{[ 35 ]}

ในงาน WWDC 2016 Apple ประกาศว่าแอป iOS ทั้งหมดจะต้องใช้ App Transport Security (ATS) ซึ่งเป็นคุณสมบัติที่บังคับใช้การส่งข้อมูลผ่าน HTTPS โดยเฉพาะอย่างยิ่ง ATS กำหนดให้ใช้การเข้ารหัสที่ให้ความลับแบบส่งต่อ^{[ 36 ]} ATS กลายเป็นข้อบังคับสำหรับแอปตั้งแต่วันที่ 1 มกราคม 2017 ^{[ 37 ]}

แอ ปพลิเคชันการส่ง ^{ข้อความ} Signalใช้การรักษาความลับแบบส่งต่อในโปรโตคอล ซึ่งแตกต่างอย่างเห็นได้ชัดจากโปรโตคอลการส่งข้อความที่ใช้PGP [ ^{38 ]}

จากการสำรวจครั้งหนึ่งในเดือนมิถุนายน พ.ศ. 2568 พบว่าเว็บไซต์ยอดนิยมประมาณ 95% รองรับการรักษาความลับแบบส่งต่อเมื่อเข้าถึงด้วยเบราว์เซอร์สมัยใหม่ ในขณะที่ 0.2% ไม่รองรับเลย^{[ 39 ]}

• ส่งต่อโดยไม่เปิดเผยตัวตน
• การแลกเปลี่ยนคีย์ Diffie–Hellman
• เส้นโค้งวงรี Diffie–Hellman
• เก็บเกี่ยวข้อมูลตอนนี้ ถอดรหัสในภายหลัง

• แอนเดอร์สัน, รอสส์ (2002). "ข้อสังเกตสองประการเกี่ยวกับการเข้ารหัสแบบกุญแจสาธารณะ" (PDF )
• Canetti, Ran ; Halevi, Shai ; Katz, Jonathan (2003). "A Forward-Secure Public-Key Encryption Scheme". Advances in Cryptology — EUROCRYPT 2003. Lecture Notes in Computer Science. Vol. 2656. pp.  255–271 . doi : 10.1007/3-540-39200-9_16 . ISBN 978-3-540-14039-9.
• กรีน, แมทธิว ดี. ; ไมเออร์ส, เอียน (2015). "การส่งข้อความแบบอะซิงโครนัสที่ปลอดภัยจากการเข้ารหัสที่เจาะทะลุได้" การประชุมวิชาการ IEEE ด้านความปลอดภัยและความเป็นส่วนตัว ปี 2015หน้า  305–320 . doi : 10.1109/SP.2015.26 . ISBN 978-1-4673-6949-7S2CID 9171925​ ​
• Günther, Felix; Hale, Britta; Jager, Tibor; Lauer, Sebastian (2017). "การแลกเปลี่ยนคีย์ 0-RTT ด้วยความลับแบบส่งต่อเต็มรูปแบบ" (PDF )
• แบ็ค, อดัม (6 กันยายน 1996). "ความลับส่งต่อแบบไม่โต้ตอบ" . ไซเฟอร์พังค์ส (รายชื่อผู้รับจดหมาย).
• Boyd, Colin; Gellert, Kai (24 สิงหาคม 2020). "มุมมองสมัยใหม่เกี่ยวกับความปลอดภัยล่วงหน้า" . The Computer Journal . 64 (4) (เผยแพร่ เมษายน 2021): 639– 652. doi : 10.1093/comjnl/bxaa104 . hdl : 11250/2730309 . สืบค้นเมื่อ8 มิถุนายน 2021 .{{cite journal}}: CS1 maint: บริการเก็บถาวรที่เลิกใช้แล้ว ( ลิงก์ )
• ดัลไมเออร์, ฟินน์; ดรีส์, แจน พี.; เกลเลิร์ต, ไค; แฮนดริก, โทเบียส; ยาเกอร์, ติบอร์; คลาเก้, โจนาส; นัคติกัล, ไซมอน; เรนเซลมันน์, ติโม; วูล์ฟ, รูดี้ (2020) "Forward-Secure 0-RTT ใช้งานได้แล้ว: การใช้งานและการวิเคราะห์ประสิทธิภาพใน QUIC" (PDF )

• RFC  2412 IETF, H. Orman. โปรโตคอลการกำหนดคีย์ OAKLEY
• Perfect Forward Secrecy สามารถป้องกัน NSA จากการเข้าถึงเว็บเพจที่ปลอดภัยได้ แต่ไม่มีใครใช้มันเลย (Computerworld 21 มิถุนายน 2013)
• SSL: ถูกดักฟังวันนี้ ถอดรหัสพรุ่งนี้ Netcraft 25 มิถุนายน 2013
• การใช้งาน Forward Secrecy: SSL Labs 25 มิถุนายน 2556
• SSL Labs ทดสอบเว็บเบราว์เซอร์
• SSL Labs ทดสอบเว็บเซิร์ฟเวอร์