DH算法

1、通信方A和通信方B约定一个初始数g，如g=5，一个质数p，如p=23，g和p是公开的,且1< g < p

2、A生成一个随机数a，a是保密的，如a=6

3、A计算g^a%p发送给B，g^a%p=5^6%23=8

4、B生成一个随机数b，b是保密的，如b=15

5、B计算g^b%p发送给A，g^b%p=5^15%23=19

6、A接收到g^b%p后，再使用保密的a，计算(g^b%p)^a%p=19^6%23=2

7、B接收到g^a%p后，再使用保密的b，计算(g^a%p)^b%p=8^15%23=2

8、这样通信方A和B得到一个相同的密钥：2

(g^b%p)^a%p=(g^a%p)^b%p的证明：

如果a=2：

(g^b%p)^a%p=(g^b%p)^2%p=(g^b-n*p)^2%p=(g^(2*b)-2*g^b*n*p+(n*p)^2)%p=g^(2*b)%p

可以看出(g^b-n*p)^2展开后除g^(2*b)外，其它都是p的倍数，所以整个算式的结果是g^(2*b)%p

同理对(g^b-n*p)^a展开后除g^(a*b)外，其它都是p的倍数，所以整个算式的结果是g^(a*b)%p

同样可以得出(g^a%p)^b%p=g^(a*b)%p

所以(g^b%p)^a%p=(g^a%p)^b%p

整个通信过程中g、p、g^a%p、g^b%p是公开的，这时通过g、p、g^a%p得到a比较难，同样通过g、p、g^b%p得到b比较难，所以最终的密钥是比较安全的。

以g=5、p=23、g^a%p=8计算a为例，a=log(5, (8+23*n))，这个只能将n的可能值逐个带入公式试验才能得到a的值。如果a、p是比较大的数那么计算更加困难。

如果注意的是，为了防止应用优化算法计算上述问题，质数p不是随便选择的，需要符合一定的条件。随机数a、b的生成算法也必需注意，应使结果尽可能随机，不能出现可预测的规律，否则会使破解变的容易。

通过上述计算过程也可以看出DH算法不仅可以应用在2方通信的情况，如果多方通信，也可以使用该算法。

DH密钥交换算法无法验证对方身份，所以DH密钥交换算法不能抵御中间人攻击（MITM，Man-in-the-middle attack）。