5、从求逆预言机恢复NTRU私钥及一元模方程求解研究

从求逆预言机恢复NTRU私钥及一元模方程求解研究

1. NTRU私钥恢复的概率分析

在解决UBNT RU问题时，当成功概率有下界$\epsilon$时，有如下定理对向orc1的查询次数进行了界定。

定理5.2 ：UBNT RU是$\left(\epsilon, orc1, \binom{N}{d_F - d_r} \cdot \left(1 - (1 - \epsilon)^{\frac{1}{\binom{d_F}{d_F - d_r}}}\right)\right)$ - 可解的。

证明 ：考虑猜测$d$个系数的游戏。总共有$T = \binom{N}{d_F - d_r}$个可能的（无序）$d$ - 元组（$d = d_F - d_r$），其中$S = \binom{d_F}{d_F - d_r}$个是“获胜”的。经过$Q$次猜测后没有获胜猜测的概率为：
[
\begin{align }
Pr(fail, Q) &= \left(1 - \frac{S}{T}\right) \cdot \left(1 - \frac{S}{T - 1}\right) \cdots \left(1 - \frac{S}{T - Q + 1}\right)\
&= \prod_{i = 0}^{Q - 1} \left(1 - \frac{S}{T - i}\right)\
&\leq \prod_{i = 0}^{Q - 1} e^{-\frac{S}{T - i}}
\end{align }
]