У нас есть функция, которая принимает три входа $\mathrm{CDH}(ч,ч^а,ч^б)$ который возвращает $ч^{аб}$. Мы вызываем это с входами $\mathrm{CDH}(g^x,g,g^{xy})$. Если мы напишем $а$ для остаточного мода $p-1$ такой, что $ax\equiv 1\pmod{p-1}$ мы видим, что если мы определим $ч$ быть $ г ^ х \ мод р $ тогда $h^a=g^{ax}=g\mod p$ и $h^y=g^{xy}\mod p$. Таким образом, для этого выбора $ч$ у нас есть $\mathrm{CDH}(g^x,g,g^{xy})=\mathrm{CDH}(h,h^a,h^y)=h^{ay}=g^{axy}=g ^у\мод р$.
Есть небольшая морщинка, когда $х$ не обратимый мод $p-1$, ибо в этом случае $у$ не определяется однозначно $г^{ху}$. Если быть точным, если $\mathrm{НОД}(x,p-1)=\ell$ тогда все значения $y'=y+k\ell$ за $k=1,\ldots (p-1)/\ell$ все бы $g^{xy}=g^{xy'}\mod p$ так что $г^{у'}$ будет законным ответом на любой из $y'$.
Наш оракул CDH может быть определен таким образом, чтобы не принимать $г$ в качестве второго аргумента в случае, когда $ч=г^х$ и $х$ имеет общий множитель с $p-1$, так как $г$ не лежит в $\лэнгле ч\рангл$. В таких случаях можно взять произвольное $\ell$корни $г^х$ и $г^{ху}$ и используйте их в качестве второго и третьего аргументов и продолжайте, как и раньше, но отмечая несколько возможных ответов.
Забавно, если у нас есть общедоступные значения и общий секрет для обмена Диффи-Хеллмана, но мы не знаем генератора (т.е. мы знаем $г^х$, $g^y$ и $г^{ху}$ но нет $г$), то такой оракул может восстановить $г$ поскольку $\mathrm{CDH}(g^{xy},g^x,g^y)=g$.
