Schau mal hier bei der Perfect forward secrecy: Diese Parameter sind aufwändig zu berechnen und daher merkt man sich diese Parameter in dieser Datei, um sie bei Verbindungen benutzen zu können. Man kann (sollte streng genommen) dieses File auch gerne öfter mal neu berechnen. Bei der PFS geht es hauptsächlich darum, dass ein temporärer Schlüssel gewählt wird, um die eigentlichen Verbindungsdaten zu schützen. Der Schlüssel hat üblicherweise nur eine begrenzte Lebensdauer und wird jedes Mal neu gewürfelt. So sind die übertragenen Nutzdaten auch sicher, wenn der authentifizierende private Schlüssel in der Zukunft kompromittiert würde und es Aufzeichnungen der verschlüsselten Verbindung gäbe: Der Sitzungsschlüssel, den man zum Beispiel über Diffie-Hellman-Verfahren würfelt ist unabhängig vom Public/Private-Key gezogen; ein Angreifer müsste also auch dieses Geheimnis erhalten, um an die Daten zu kommen.

Das war aus dem Kopf heraus getippt, daher keine Garantie für vollständige Korrektheit 😇

Brighty