Протокол пересечения частных множеств на основе Диффи-Хеллмана не может пройти проверку моделирования?

Учитывая популярный протокол Private Set Intersection (PSI), впервые описанный в [1]:

• Алиса выбирает случайным образом $а$, и отправляет $\{H(x_i)^{a}\bmod p\}| (i=1,...m)$ к Бобу.
• Боб выбирает случайным образом $b$, и отправляет $\{H(y_i)^{b}\bmod p\}| (i=1,...n)$ Алисе.
• Алиса вычисляет и отправляет $\{H(y_i)^{ba}\bmod p\}| (i=1,...n)$ к Бобу.
• Боб вычисляет и отправляет $\{H(x_i)^{ab}\bmod p\}| (i=1,...m)$ Алисе.
• Каждая сторона локально вычисляет пересечения.

Вопрос 1: Если (с очень малым шансом) существуют $x_1$ и $x_2$ что $H(x_1)=H(x_2)^2\bmod p$, то Боб мог бы обнаружить его, потому что $H(x_1)^a=(H(x_2)^a)^2\bmod p$. Конечно, Боб не мог имитировать эту информацию. Означает ли это, что этот протокол нарушает получестную безопасность?

Я обсуждал это с друзьями, некоторые говорили, что это не нарушает получестную безопасность, потому что шанс $H(x_1)=H(x_2)^2\bmod p$ пренебрежимо мал. Но я думаю, что да, потому что в определении 4.1.учебника по доказательству симуляции [2], симуляция всегда должна быть успешной и не должна зависеть от входных данных. $\{х,у\}$.

Вопрос 2: В протоколе PSI (рис.3) из [3] они используют $H(H(x_i)+H(x_i)^{a})$ вместо $H(x_i)^{a}$ (обратите внимание, что протокол по-прежнему верен, если они используют $H(x_i)^{a}$), это, кажется, усиливает мою точку зрения (наивный протокол DH-PSI недоказуем), потому что $H(H(x_i)+H(x_i)^{a})$ проще смоделировать, чем $H(x_i)^{a}$ . Правильно ли я понимаю?

Спасибо.

1. Хуберман Б.А., Франклин М., Хогг Т. Повышение конфиденциальности и доверия в электронных сообществах[C]// Конференция ACM по электронной коммерции. АКМ, 1999:78-86
2. Линделл И. Как это смоделировать, https://eprint.iacr.org/2016/046.pdf
3. Генрих А., Холлик М., Шнайдер Т. и др. PrivateDrop: практическая аутентификация с сохранением конфиденциальности для Apple AirDrop, USENIX'SEC 21