Der Berechnungsaufwand ist höher beim RSA. Beim DH wird die große Primzahl nur eimalig berechnet und es entstehen 4 Modulare Exponentationen die sich auf 2 Rechner evteilen. Bei einer RSA Verschlüsselung müssen erstmal die Schlüssel erzeugt werden. Um dies genauso Protokolllogisch richtig zu machen müsste man also für jeden Schlüsselaustausch ein neues RSA Schlüsselpaar erzeugen. Also 2 Primzahlen, mehrere GCD Berechnungen, und eine Exponentation + eine Exponentation (identisch mit DH) um zu verschlüsseln und mindestens eine Exponentation bei der Entschlüsselung. Diese eine letzte Exponentation kann ca. 4 mal beschleunigen, aber das wars dann schon. Somit ist DH erstmal logisch sicherer auf Grund seines Protokolles und zweites effizienter als RSA, da die Erzeugung der Primzahl einmalig ist.

Es geht aber garnicht darum was effizienter ist sondern nur darum was sicherheitstechnisch das bessere ist. Und für den Schlüsselaustausch ist DH konzipiert.

Mit einer guten math. Bibliothek dürften die Berechnungen beim Schlüsselaustausch unter einer Millisekunde liegen. In fact meine Library schafft 1000-1500 solcher Exponentationen pro Sekunde.
Die Erzeugung der 1024 Bit Primzahl sollte innerhalb von 1-4 Sekunden erledigt sein. Damit stellt sich die Rechentechnische Effizienzfrage nicht mehr.

Gruß Hagen