Algoritmy Diffie-Hellman užívané (mimo jiné) v IPsec komunikaci umožňují dvěma protistranám výměnu klíče prostřednictvím nezabezpečené sítě. Z podstaty samé se tedy používají k sestavení šifrovaného VPN tunelu.
DH Group, tedy sada čísel (základ a exponen) použitých pro stanovení symetrického klíče, označuje délku použitého modula nebo eliptické křivky.
| DH Group | Délka klíče | Hodnocení |
|---|---|---|
| Group 1 | 768-bit modulo | nepoužívat (prolomitelné šifrování) |
| Group 2 | 1024-bit modulo | nepoužívat (prolomitelné šifrování) |
| Group 5 | 1536-bit modulo | nepoužívat (prolomitelné šifrování) |
| Group 14 | 2048-bit modulo | doporučené minimum |
| Group 15 | 3072-bit modulo | nedoporučeno (nedostatečná podpora) |
| Group 16 | 4096-bit modulo | nedoporučeno (nedostatečná podpora) |
| Group 17 | 6144-bit modulo | nedoporučeno (nedostatečná podpora) |
| Group 18 | 8192-bit modulo | nedoporučeno (nedostatečná podpora) |
| Group 19 | 192-bit eliptická křivka | doporučeno |
| Group 21 | 224-bit eliptická křivka | doporučeno |
| Group 23 | 256-bit eliptická křivka | doporučeno |
| Group 24 | 384-bit eliptická křivka | doporučeno |
| Group 25 | 521-bit eliptická křivka | doporučeno |
Ref.: IETF RFC3526, RFC5114