Dacă (cu o șansă foarte mică) există $x_1$ și $x_2$ acea $H(x_1) = H(x_2)^2$, atunci Bob ar putea descoperi... simularea ar trebui să reușească întotdeauna și nu ar trebui să depindă de intrare $\{x,y\}$.
Sunt de acord cu prietenul tău că această observație nu încalcă securitatea semi-onest.
În modelul semi-onest, intrările sunt independente de oracolul aleatoriu. Cu alte cuvinte, intrările sunt fixe primul, și apoi $H$ este eșantionată. Mediul nu are acces la oracolul aleatoriu (în modelul de oracol aleatoriu local), așa că alegerea sa de intrări pentru părțile cinstite nu depinde de oracolul aleatoriu. Deci evenimentul care $H(x_1) = H(x_2)^2$ nu depinde de $x_1, x_2$. Este neglijabil probabil pentru toate intrările, astfel încât simulatorul poate ignora acest caz în siguranță.
În protocolul PSI (Fig.3) din [3],
Nu sunt sigur care este întrebarea ta aici. În [3] au nevoie de un protocol PSI malițios-securizat, iar protocolul clasic DH-PSI nu este. Deci folosesc protocolul mai complicat al lui Jarecki & Liu.
Întrebarea mai mare pare să fie dacă DH-PSI clasic „nu poate fi simulat”, unde probabil că te referi împotriva adversarilor rău intenționați. Sunt de acord. Gândiți-vă doar la cazul în care părțile au câte 1 articol. Luați în considerare cazul în care o Alice coruptă interoghează oracolul aleatoriu la $x_0$ și $x_1$, aruncă o monedă $b$, și trimite $H(x_b)^a$ pentru exponent aleatoriu $a$. Exponentul aleatoriu $a$ face vizualizarea simulatorului (interogări aleatorii ale oraclelor $x_0, x_1$ și mesaj de protocol $H(x_b)^a$) perfect independent de $b$. Dar simulatorul trebuie să ghicească $b$ pentru a extrage corect.