Nếu (với một cơ hội rất nhỏ) tồn tại $x_1$ và $x_2$ điều đó $H(x_1) = H(x_2)^2$, sau đó Bob có thể khám phá ra nó... quá trình mô phỏng phải luôn thành công và không nên phụ thuộc vào thông tin đầu vào $\{x,y\}$.
Tôi đồng ý với bạn của bạn rằng quan sát này không vi phạm bảo mật bán trung thực.
Trong mô hình bán trung thực, các đầu vào độc lập với tiên tri ngẫu nhiên. Nói cách khác, các đầu vào được cố định đầu tiên, và sau đó $H$ được lấy mẫu. Môi trường không có quyền truy cập vào tiên tri ngẫu nhiên (trong mô hình tiên tri ngẫu nhiên cục bộ), do đó, việc lựa chọn đầu vào cho các bên trung thực' không phụ thuộc vào tiên tri ngẫu nhiên. Vậy sự kiện mà $H(x_1) = H(x_2)^2$ không phụ thuộc vào $x_1, x_2$. Nó có khả năng không đáng kể đối với tất cả các đầu vào, vì vậy trình giả lập có thể bỏ qua trường hợp này một cách an toàn.
Trong giao thức PSI (Hình.3) của [3],
Tôi không chắc câu hỏi của bạn ở đây là gì. Trong [3] họ cần một giao thức PSI an toàn chống mã độc, còn giao thức DH-PSI cổ điển thì không. Vì vậy, họ sử dụng giao thức phức tạp hơn của Jarecki & Liu.
Câu hỏi lớn hơn dường như là liệu DH-PSI cổ điển có "không thể được mô phỏng" hay không, trong đó có lẽ bạn muốn nói đến việc chống lại các đối thủ nguy hiểm. Tôi đồng ý. Chỉ cần nghĩ về trường hợp các bên có 1 mặt hàng. Hãy xem xét trường hợp một Alice bị hỏng truy vấn nhà tiên tri ngẫu nhiên tại $x_0$ và $x_1$, tung đồng xu $b$, và gửi $H(x_b)^a$ cho số mũ ngẫu nhiên $a$. Số mũ ngẫu nhiên $a$ làm cho chế độ xem của trình giả lập (các truy vấn tiên tri ngẫu nhiên $x_0, x_1$ và thông báo giao thức $H(x_b)^a$) hoàn toàn độc lập với $b$. Nhưng trình mô phỏng phải đoán $b$ để trích xuất một cách chính xác.