Giao thức giao cắt bộ riêng dựa trên Diffie-Hellman không thể vượt qua bằng chứng mô phỏng?

Với giao thức Giao lộ tập hợp riêng (PSI) phổ biến được mô tả lần đầu trong [1]:

• Alice chọn ngẫu nhiên $a$, và gửi $\{H(x_i)^{a}\bmod p\}| (i=1,...m)$ gửi Bob.
• Bob chọn ngẫu nhiên $b$, và gửi $\{H(y_i)^{b}\bmod p\}| (i=1,...n)$ đến Alice.
• Alice tính toán và gửi $\{H(y_i)^{ba}\bmod p\}| (i=1,...n)$ gửi Bob.
• Bob tính toán và gửi $\{H(x_i)^{ab}\bmod p\}| (i=1,...m)$ đến Alice.
• Mỗi bên tính toán cục bộ các giao điểm.

Câu hỏi 1: Nếu (với một cơ hội rất nhỏ) tồn tại $x_1$ và $x_2$ điều đó $H(x_1)=H(x_2)^2\bmod p$, thì Bob có thể phát hiện ra nó vì $H(x_1)^a=(H(x_2)^a)^2\bmod p$. Chắc chắn Bob không thể mô phỏng thông tin này. Điều đó có nghĩa là giao thức này vi phạm bảo mật bán trung thực?

Tôi đã thảo luận điều này với bạn bè, một số người nói rằng điều này không vi phạm bảo mật bán trung thực, bởi vì cơ hội $H(x_1)=H(x_2)^2\bmod p$ là không đáng kể. Nhưng tôi nghĩ là có, bởi vì trong Định nghĩa 4.1.của hướng dẫn chứng minh mô phỏng [2], mô phỏng phải luôn thành công và không phụ thuộc vào đầu vào $\{x,y\}$.

Câu hỏi 2: Trong giao thức PSI (Hình.3) của [3], họ sử dụng $H(H(x_i)+H(x_i)^{a})$ thay vì $H(x_i)^{a}$ (lưu ý rằng giao thức vẫn đúng nếu họ sử dụng $H(x_i)^{a}$), điều này dường như củng cố quan điểm của tôi (giao thức DH-PSI ngây thơ không thể chứng minh được), bởi vì $H(H(x_i)+H(x_i)^{a})$ dễ mô phỏng hơn $H(x_i)^{a}$ . Tôi hiểu có đúng không?

Cảm ơn.

1. Huberman B A, Franklin M, Hogg T. Nâng cao quyền riêng tư và niềm tin trong cộng đồng điện tử[C]// Hội nghị ACM về Thương mại Điện tử. ACM, 1999:78-86
2. Lindell Y, Làm thế nào để mô phỏng nó, https://eprint.iacr.org/2016/046.pdf
3. Heinrich A, Hollick M, Schneider T, et al. PrivateDrop: Xác thực bảo vệ quyền riêng tư thiết thực cho Apple AirDrop, USENIX'SEC 21