安全模型中的安全性证明和恶意模型中的示例存在问题。

Question

假设现实世界中的恶意对手使用$Y = 0$作为其输入，因此他将输出计算为($X$ && $y=0$) = $0$。我们可以得出结论，现实世界的真正观点是：

真实视图：$X，Y= 0$和$output = 0$

Real世界

现在，想象一下模拟器想要在理想的世界中模拟真实世界的观点。为了模拟$x$ (诚实方的输入)，模拟器必须向受信任方发送$1美元，然后从它接收$x$。因此模拟器成功地模拟了$X$，但是现在模拟器将输出计算为$X$ && $(Y = 1)$ = $X$，这与真实视图中的输出$X$ &$& $0$ = $0$不相等。因此，仿真器不能在理想的模型中模拟输出。

Ideal世界

恶意模型中的Definition 2.3.1

定义说，对于每一个对手A的真实模型，必须存在一个模拟器S的理想模型。考虑到这个定义，我可以发现一个对手(在现实世界中发送$y = 0$ )没有任何模拟器，因此该协议在恶意模型中是不安全的。在林德尔的书-第27页(以下证明)，它是说这个协议是安全的！我真的很困惑。(我发现了一个协议不安全的场景)。

协议的Proof

Answer 1

如果我理解正确的话，你会认为一个对手$\mathcal A$腐蚀了现实世界中的$P_2$，它忽略了$P2$‘S输入$y$，只输出$0$而不管$P_1$发送的值是多少，对吗?你声称这个对手是不可模拟的。

当然，这个对手是可以模拟的:模拟器向受信任方发送任何信息，接收任何信息，并输出$0$。

顺便说一句，这个证明显示了更多:它展示了如何为任何对手构建模拟器，如下所示。在现实世界中，对手接收$x$，执行任何基于$x$、$y$及其辅助输出$z$的计算，并输出结果。模拟器向可信方发送$1$，接收$x$，执行与现实世界对手相同的计算，并输出其结果。