43、基于格的NTRU加密与签名的安全分析

基于格的NTRU加密与签名的安全分析

1. 混合攻击

1.1 基本思路

对于公钥形式为 (h \equiv f^{-1} * g \pmod{q}) 的NTRU低效版本，其混合攻击的大致思路如下：给定 (N)、(q)、(d)、(e)、(h) 以及隐含的维度为 (2N) 的NTRUEncrypt公共格 (L)，目标是定位与私钥 ((f, g)) 对应的短向量。

1.2 具体步骤

1. 选择 (N_1 < N)，从 (L) 的中心移除一个 (2N_1 \times 2N_1) 的子格 (L_1)。原矩阵 (L) 具有如下形式：
   [
   \begin{pmatrix}
   qI_{N - N_1} & 0 & 0 \
   0 & L_1 & 0 \
   0 & 0 & I_{N - N_1}
   \end{pmatrix}
   ]
   其中 (L_1) 的形式为：
   [
   \begin{pmatrix}
   qI_{N_1} & 0 \
   H_1 & I_{N_1}
   \end{pmatrix}
   ]
   这里 (H_1) 是对应于 (h) 的循环矩阵 (H) 的截断部分。
2. 攻击者至少需要 (k_1) 比特的计算量将 (L_1) 进行约化，直到所有 (N_1) 个 (q) - 向量被移除。当 (L_1) 化为下三角形式时，对角元素的值为 ({q^{\alpha_1}, q^{\alpha_2}, \cdots, q^{\alpha_{2N_1}}})，其中