Chúng tôi được trang bị một chức năng có ba đầu vào $\mathrm{CDH}(h,h^a,h^b)$ trả về $h^{ab}$. Chúng tôi gọi nó với các đầu vào $\mathrm{CDH}(g^x,g,g^{xy})$. Nếu chúng ta viết $a$ cho mod dư lượng $p-1$ như vậy mà $ax\equiv 1\pmod{p-1}$ chúng ta thấy rằng nếu chúng ta xác định $h$ được $g^x\mod p$ sau đó $h^a=g^{ax}=g\mod p$ và $h^y=g^{xy}\mod p$. Vì vậy, đối với sự lựa chọn này của $h$ chúng ta có $\mathrm{CDH}(g^x,g,g^{xy})=\mathrm{CDH}(h,h^a,h^y)=h^{ay}=g^{axy}=g ^y\mod p$.
Có một nếp nhăn nhẹ khi $x$ không phải là mod nghịch đảo $p-1$, vì trong trường hợp này $y$ không được xác định duy nhất bởi $g^{xy}$. Nói một cách chính xác, nếu $\mathrm{GCD}(x,p-1)=\ell$ thì tất cả các giá trị $y'=y+k\ell$ vì $k=1,\ldots (p-1)/\ell$ tất cả sẽ có $g^{xy}=g^{xy'}\mod p$ để có thể $g^{y'}$ sẽ là một câu trả lời hợp pháp cho bất kỳ $y'$.
Nhà tiên tri CDH của chúng tôi có thể được định nghĩa theo cách không chấp nhận $g$ làm đối số thứ hai trong trường hợp $h=g^x$ và $x$ có nhân tử chung với $p-1$, bởi vì $g$ không nằm trong $\langle h\rangle$. Trong những trường hợp như vậy chúng ta có thể lấy tùy ý $\ell$gốc rễ của $g^x$ và $g^{xy}$ và sử dụng chúng làm đối số thứ hai và thứ ba, đồng thời tiến hành như trước nhưng lưu ý nhiều câu trả lời có thể có.
Để giải trí, nếu chúng ta có các giá trị công khai và bí mật được chia sẻ cho trao đổi Diffie-Hellman, nhưng không biết trình tạo (tức là chúng ta biết $g^x$, $g^y$ và $g^{xy}$ nhưng không $g$), thì một nhà tiên tri như vậy có thể phục hồi $g$ từ $\mathrm{CDH}(g^{xy},g^x,g^y)=g$.
