Утечка информации для предоставления искаженного вывода схемы яо

Я сейчас читаю газету: Компромиссы эффективности для злонамеренного двустороннего Вычисление. В документе описывается $к$-leak и приводит пример того, что утечка 1 бита может превратить искаженную схему Яо из получестного сопротивления в злонамеренное сопротивление.

На странице 14 говорится, что Алиса передает искаженный вывод Бобу — создателю искаженной схемы.Но не восстановит ли Боб весь ввод Алисы с помощью искаженного вывода Алисы и таблицы переходов (поскольку Боб является создателем схемы)?

Как это точно пропускает только 1 бит ввода?

Описание на странице 14 меня тоже смущает. Я считаю важным отметить, что в документе предлагается использовать протокол «условного раскрытия секретов», ссылаясь на [AIR01]. Итак, когда в схеме написано:

Алиса раскрывает $W_a$ Бобу, если $O_1 = O_2$, и случайное значение $r_a \in \{0, 1\}^{|W_a|}$ в противном случае.

..слово «раскрывает», вероятно, относится к протоколу условного раскрытия, а не просто к отправке $W_a$. Если Алиса пошлет $W_a$ для Боба, тогда вы правы, Боб может узнать выход схемы Алисы, который содержит более одного бита утечки.

Было много статей, основанных на этой классической парадигме двойного исполнения. Основываясь на этих документах, я бы порекомендовал следующий очень простой способ выполнения заключительного этапа двойного выполнения, если у вас все в порядке со случайным оракулом. Что касается обозначений, пусть $[х]_А$ обозначают искаженное выходное кодирование $х$, в кодировке, выбранной Алисой.

1. Алиса оценивает схему Боба, чтобы получить результат $O_1$ и его искаженный вывод $[O_1]_B$. Алиса знает кодировку, которую она использовала для своих выходных сигналов, поэтому она также может вычислять $[O_1]_A$
2. Боб оценивает схему Алисы, чтобы получить результат $O_2$ и его искаженная кодировка $[O_2]_A$. Боб знает кодировку, которую он использовал для своих собственных схемных выходов, поэтому он также может вычислять $[O_2]_B$
3. Алиса вычисляет $h_A = H([O_1]_A, [O_1]_B)$ и отправляет его Бобу.
4. Боб вычисляет $h_B = H([O_2]_A, [O_2]_B )$. Если $h_A = h_B$ он принимает вывод $O_2$, иначе он прерывается.

Если Алиса честна, а Боб коррумпирован, Боб может получить только один искаженный вывод. $[\cdot]_A$ под кодировкой Алисы, благодаря свойству подлинности искаженной схемы Алисы. Итак, Боб не может запросить $Ч$ в любой допустимой кодировке $[х]_А$ за исключением $[O_2]_A$. Если $O_1\ne O_2$ тогда Боб никогда не сможет запросить $Ч$ в тот же момент, что и Алиса, поэтому ее значение $h_A$ выглядит равномерно случайным для Боба. То есть он не пропускает никакой информации о $O_1$ кроме того факта, что $O_1\ne O_2$.

Я сосредоточился на том, как убедить Боба в правильности вывода. Чтобы убедить и Алису, вы должны провести такое же сравнение хэшей в обоих направлениях. Но вы не можете использовать одни и те же вызовы хэш-функции в обоих направлениях — используйте разные одноразовые номера для «хеш-вызовов, чтобы убедить Алису» и «хэш-вызовов, чтобы убедить Боба».