Diffie-Hellman permite que dos partes generen una clave secreta que no puede ser recuperada por alguien que espíe la comunicación. Esta clave secreta se puede usar para configurar un canal seguro entre las dos partes que ejecutaron el protocolo DH.
La clave secreta se establece entre las dos partes que intercambiaron los mensajes iniciales. Si envía un mensaje y recibe una respuesta, no tiene forma de saber que este mensaje proviene de su amigo. Podría venir de un hombre en el medio en su lugar. Un MitM puede responder a su mensaje y enviar un mensaje a su amigo, y así configurar una clave secreta para comunicarse con usted y otra para comunicarse con su amigo. Desde ese punto, tanto usted como su amigo tienen un canal seguro con MitM, que puede elegir transmitir los mensajes y fisgonearlos, modificarlos, retenerlos o inyectar los mensajes que desee.
No hay forma de configurar un canal seguro sin autenticación. Si quieres estar seguro de que te estás comunicando con tu amigo, entonces necesitas saber algo acerca de tu amigo antes de que comience el protocolo, para poder avisarle a un amigo de un atacante. Por ejemplo, podría tener la clave pública de su amigo. Tu amigo enfrenta el mismo problema.
Una vez que cada parte conoce la clave pública de la otra, DH es una forma posible de establecer un canal seguro. Los mensajes de configuración de DH están firmados por la clave pública, para que la parte receptora pueda verificar su autenticidad.