Fondamentalmente la domanda è:
Se abbiamo p di size 2048 quali dimensioni per esponenti privati dovrebbe scegliere Alice e Bob e perché?
IF (che è un grande "se") il generatore g e l'elemento pubblico dal peer può essere considerato parte di un sottogruppo di primo ordine, POI è sufficiente che gli esponenti abbiano dimensione 2t bit, per un "livello di sicurezza" dei bit t . In altre parole, 256 bit vanno bene.
Ora se p è un cosiddetto "primo strong" (cioè p è primo e ( p -1) / 2 è anche prime), quindi qualsiasi modulo intero p (eccetto 0, 1 e p -1) ha necessariamente ordine ( p -1) / 2 o p -1, e un esponente a 257 bit è sufficiente. In effetti, è eccessivo perché risolvere il modulo logaritmo discreto p sarà più facile di quello, dal punto di vista accademico (ma questo è comunque lontano nel regno "tecnologicamente irrealizzabile").
Se si utilizza Diffie-Hellman con una coppia di chiavi DH realmente effimera, per stabilire un segreto condiviso con un peer specifico e non riutilizzare mai quel segreto DH per qualcos'altro, allora si può semplicemente supporre che i parametri DH stiano bene, perché , in virtù dell'eliminazione della chiave privata DH dopo l'uso, qualunque trucco brutto giocato dal peer avrà un impatto solo sullo scambio di chiavi. Tuttavia, se si prevede di riutilizzare la stessa coppia di chiavi DH per creare istanze DH (ad esempio un server TLS con una suite di crittografia "DHE_RSA", che rinnova le coppie di chiavi DH solo al riavvio del servizio), è necessario prestare maggiore attenzione perché i peer possono inviare false chiavi pubbliche DH per tentare di estrarre informazioni dalla propria chiave privata DH e utilizzarle per attaccare altre connessioni.
Leggi altre domande sui tag cryptography key-exchange diffie-hellman