Básicamente la pregunta es:
Si tenemos p de tamaño 2048 , ¿qué tamaños para exponentes privados deberían elegir Alice y Bob y por qué?
SI (es un gran "si") se puede suponer que el generador g y el elemento público del par forman parte de un subgrupo de primer orden, ENTONCES es suficiente para que los exponentes tengan tamaño 2t bits, para un "nivel de seguridad" de t bits. En otras palabras, 256 bits están bien.
Ahora, si p es un llamado "prime prime" (es decir, p es primo y ( p -1) / 2 es también primo), entonces cualquier número entero p (excepto 0, 1 y p -1) necesariamente tiene orden ( p -1) / 2 o p -1, y un exponente de 257 bits es suficiente. De hecho, es una exageración porque la resolución del logaritmo discreto modulo p será más fácil que eso, académicamente hablando (pero todo esto está muy lejos en el ámbito "tecnológicamente inviable").
Si está utilizando Diffie-Hellman con un par de claves DH realmente efímero, para establecer un secreto compartido con un par específico y nunca reutilizar ese secreto DH para otra cosa, entonces puede asumir que los parámetros DH están bien, porque En virtud de descartar la clave DH privada después de su uso, cualquier truco desagradable jugado por el par solo afectará ese intercambio de claves. Sin embargo, si planea reutilizar el mismo par de claves DH para hacer las instancias de DH (por ejemplo, un servidor TLS con un conjunto de cifrado "DHE_RSA", que renueva los pares de claves DH solo cuando se reinicia el servicio), entonces debe tener más cuidado porque los compañeros pueden enviar claves públicas DH falsas para intentar extraer información de su propia clave privada DH y usarla para atacar otras conexiones.
Lea otras preguntas en las etiquetas cryptography key-exchange diffie-hellman