Если (с очень малым шансом) существуют $x_1$ и $x_2$ что $Ч(х_1) = Н(х_2)^2$, то Боб мог бы это обнаружить... симуляция всегда должна быть успешной и не должна зависеть от входных данных $\{х,у\}$.
Я согласен с вашим другом, что это наблюдение не нарушает получестную безопасность.
В получестной модели входные данные не зависят от случайного оракула. Другими словами, входы фиксированы. первый, а потом $Ч$ отбирается. Среда не имеет доступа к случайному оракулу (в локальной модели случайного оракула), поэтому ее выбор входов для честных сторон не зависит от случайного оракула. Итак, событие, которое $Ч(х_1) = Н(х_2)^2$ не зависит от $x_1, x_2$. Это маловероятно для всех входных данных, поэтому симулятор может спокойно игнорировать этот случай.
В протоколе PSI (рис.3) из [3]
Я не уверен, что ваш вопрос здесь. В [3] им нужен защищенный от вредоносных программ протокол PSI, а классический протокол DH-PSI — нет. Поэтому они используют более сложный протокол Джареки и Лю.
Кажется, что более важный вопрос заключается в том, нельзя ли «смоделировать» классический DH-PSI, где, по-видимому, вы имеете в виду против злонамеренных противников. Я согласен. Просто подумайте о случае, когда у каждой стороны есть по 1 предмету. Рассмотрим случай, когда поврежденная Алиса запрашивает случайный оракул в $x_0$ и $x_1$, подбрасывает монетку $b$, и отправляет $H(x_b)^a$ для случайного показателя $а$. Случайный показатель $а$ делает представление симулятора (случайные запросы оракула $x_0, x_1$ и протокольное сообщение $H(x_b)^a$) совершенно не зависит от $b$. Но симулятор должен угадать $b$ для правильного извлечения.