隨機預言下協議安全但使用任何散列函式不安全的解釋

眾所周知，在隨機預言模型中存在一個安全的協議，但是任何真正的雜湊函式都會使該協議不安全。證明是建設性的，但我無法理解有問題的協議。

有人可以用程序員更容易理解的語言解釋協議嗎？

我相信“簡單”範例的形式是

對手可以向誠實的一方發送任意長的消息

在這種情況下，誠實方發送的消息都以 0 開頭

當誠實方在該上下文中收到

以 1 開頭的消息時，如果該消息的其餘部分對電路進行編碼，則：

誠實方以秘密值評估該電路和預言機。

如果輸出相等，那麼誠實的一方會做一些明顯不安全的事情。

.

這篇論文表明，即使是 Fiat-Shamir 也可能失敗。

引用自：https://crypto.stackexchange.com/questions/32978