Protocolul de intersecție a seturilor private bazat pe Diffie-Hellman nu poate trece dovada de simulare?

Având în vedere popularul protocol de intersecție a seturilor private (PSI) descris mai întâi în [1]:

• Alice alege un aleatoriu $a$, și trimite $\{H(x_i)^{a}\bmod p\}| (i=1,...m)$ lui Bob.
• Bob alege un aleatoriu $b$, și trimite $\{H(y_i)^{b}\bmod p\}| (i=1,...n)$ lui Alice.
• Alice calculează și trimite $\{H(y_i)^{ba}\bmod p\}| (i=1,...n)$ lui Bob.
• Bob calculează și trimite $\{H(x_i)^{ab}\bmod p\}| (i=1,...m)$ lui Alice.
• Fiecare parte calculează local intersecțiile.

Intrebarea 1: Dacă (cu o șansă foarte mică) există $x_1$ și $x_2$ acea $H(x_1)=H(x_2)^2\bmod p$, atunci Bob l-a putut descoperi pentru că $H(x_1)^a=(H(x_2)^a)^2\bmod p$. Cu siguranță Bob nu a putut simula această informație. Înseamnă că acest protocol încalcă securitatea semi-onest?

Am discutat despre asta cu prietenii, unii au spus că acest lucru nu încalcă securitatea semionest, deoarece șansa de a $H(x_1)=H(x_2)^2\bmod p$ este neglijabil. Dar cred că da, pentru că în Definiția 4.1.din tutorialul de demonstrare a simulării [2], simularea ar trebui să reușească întotdeauna și nu ar trebui să depindă de intrare $\{x,y\}$.

Intrebarea 2: În protocolul PSI (Fig.3) din [3], ei folosesc $H(H(x_i)+H(x_i)^{a})$ în loc de $H(x_i)^{a}$ (observați că protocolul este încă corect dacă folosesc $H(x_i)^{a}$), acest lucru pare să-mi întărească punctul (protocolul naiv DH-PSI nu este demonstrabil), deoarece $H(H(x_i)+H(x_i)^{a})$ este mai ușor de simulat decât $H(x_i)^{a}$ . Este corectă înțelegerea mea?

Mulțumiri.

1. Huberman B A, Franklin M, Hogg T. Creșterea confidențialității și a încrederii în comunitățile electronice[C]// Conferința ACM privind comerțul electronic. ACM, 1999:78-86
2. Lindell Y, Cum să o simulezi, https://eprint.iacr.org/2016/046.pdf
3. Heinrich A, Hollick M, Schneider T, et al. PrivateDrop: Autentificare practică pentru păstrarea confidențialității pentru Apple AirDrop, USENIX'SEC 21