Bạn đang hỏi cụ thể về thuộc tính ràng buộc ("Bob có thể lừa Alice không?"). Thật hữu ích khi nhớ lại cách ràng buộc được chứng minh trong lược đồ của Naor.
Giả sử một đối thủ tạo ra một số cam kết $c$. Nếu họ có thể mở cam kết về 0 thì phải tồn tại $s_0$ như vậy mà $G(s_0) = c$. Nếu họ có thể mở cam kết thành 1 thì phải tồn tại $s_1$ như vậy mà $G(s_1) \oplus r = c$. Vì vậy, nếu họ có thể mở $c$ đến cả hai các giá trị thì phải tồn tại $s_0, s_1$ như vậy mà $G(s_0) \oplus G(s_1) = r$. Nếu một đối thủ có thể lập lờ, thì điều đó phản ánh điều gì đó buồn cười về $r$ nhiều hơn nó phản ánh một cái gì đó buồn cười về $c$.
Nếu một giá trị của $r$ có thuộc tính ở trên, hãy gọi nó là "có vấn đề".
Có $2^{2\lambda}$ cặp $(s_0,s_1)$, và như vậy nhiều nhất $2^{2\lambda}$ giá trị có vấn đề của $r$. Nếu $G$ dài gấp ba thì có $2^{3\lambda}$ các giá trị có thể có của $r$ mà Alice có thể chọn. Vì vậy, khi Alice chọn $r$ đồng đều, cô ấy nhận được một vấn đề với xác suất không đáng kể $1/2^\lambda$. Và miễn là cô ấy tránh được một vấn đề $r$, cam kết sẽ hoàn toàn ràng buộc.
Bây giờ bạn đề xuất sửa một lỗi cụ thể $r$, ví dụ như $r=0\cdots01$. Câu hỏi đặt ra là liệu điều này $r$ có thể có vấn đề. Có thể tồn tại $s_0, s_1$ như vậy mà $G(s_0) \oplus G(s_1) = 0\cdots 01$? Chắc chắn rồi! Chỉ cần lấy PRG yêu thích của bạn và hai chuỗi yêu thích của bạn $s_0$ và $s_1$và xác định lại đầu ra của PRG trên $s_0$ và $s_1$ để có tài sản trên. Hàm đã sửa đổi vẫn là một PRG, nhưng sơ đồ Naor đã sửa đổi của bạn không an toàn với PRG này (đối thủ có thể phụ thuộc vào $s_0$ và $s_1$ bởi vì đối thủ có thể phụ thuộc vào sự lựa chọn của PRG tất nhiên).
Vì vậy, không, kế hoạch của Naor nói chung là không an toàn khi $r$ là cố định. Bất cứ gì $r$ mà bạn muốn khắc phục, tôi có thể xây dựng một PRG an toàn khiến sơ đồ của Naor đã sửa đổi này trở nên không an toàn. Để có thêm tín dụng, hãy xây dựng một PRG an toàn $G$ như vậy, cho mọi đầu ra có thể $G(s)$, giá trị $G(s)\oplus 0\cdots01$ cũng là một đầu ra có thể có của $G$.
