参考文献：

1. [Rivest97] Rivest R L. All-or-nothing encryption and the package transform[C]//Fast Software Encryption: 4th International Workshop, FSE’97 Haifa, Israel, January 20–22 1997 Proceedings 4. Springer Berlin Heidelberg, 1997: 210-218.
2. [HPS98] Hoffstein J, Pipher J, Silverman J H. NTRU: A ring-based public key cryptosystem[C]//International algorithmic number theory symposium. Berlin, Heidelberg: Springer Berlin Heidelberg, 1998: 267-288.
3. [HS00] Hoffstein J, Silverman J. Optimizations for NTRU[J]. Public-Key Cryptography and Computational Number Theory, De Gruyter Proceedings in Mathematics, 2000: 77-88.
4. [SS11] Stehlé D, Steinfeld R. Making NTRU as secure as worst-case problems over ideal lattices[C]//Advances in Cryptology–EUROCRYPT 2011: 30th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Tallinn, Estonia, May 15-19, 2011. Proceedings 30. Springer Berlin Heidelberg, 2011: 27-47.

All-or-Nothing Transfom

Strongly Non-separable

[Rivest97] 提出了一种对称加密模式：强不可分离模式。它可以抵御：暴力攻击、选择明文攻击、相关明文攻击。

为了实现强不可分离性，它提出了全或无转换（all-or-nothing transfom，AONT），

给定加密方案 $\Pi$，消息 $m_1,\cdots ,m_s$，我们构造新的方案 ${\Pi }^{\prime }$：

1. 利用 AONT，把消息转化为 “伪消息” $m_1^{\prime },\cdots ,m_s^{\prime }$
2. 对于 “伪消息” 简单地用 $\Pi$ 加密

可以证明，方案 ${\Pi }^{\prime }$ 是强不可分离的。如果敌手试图暴力攻击，那么它不得不对所有的密文分块全部解密得到 $m^{\prime }$，然后才能恢复出消息 $m$，从而根据语义判断是否解密正确。对于 $s$ 个密文分块，带来了 $s$ 倍的惩罚。

不过，AONT 带来一个问题：错误传播严重。[Rivest97] 提出可以在 AONT 和 Enc 之间，添加 ECC 纠错过程。不过，冗余的信息带来了一定的弱点，安全性会略微下降。

Package Transform

[Rivest97] 给出了一种 AONT 的实现方案：Package Transform

这是一个随机的编码过程，其中的 $K_0$ 是固定且公开的随机数，$K^{\prime }$ 是临时选取的足够长的随机数（并不是秘密），$E$ 是某种对称加密算法（实际的作用是 RO，或者说 PRF 和 Hash）

对于公钥方案来说，待加密的消息 $m$，

1. 选取随机数 $r$，计算 $G(r)$ 作为一次秘钥，编码出 $m^{\prime }=m\oplus G(r)$
2. 计算 $H(m^{\prime })$ 作为一次秘钥，编码出 $r^{\prime }=r\oplus H(m^{\prime })$
3. 消息 $m$ 对应的伪消息是 $m^{\prime }\Vert r^{\prime }$（随机数，但是求逆容易）

敌手必须知道 $m^{\prime }$ 的全部比特，才能恢复出 $H(m^{\prime })$，必须再知道 $r^{\prime }$ 的全部比特，才能恢复出 $r$，然后才能恢复出 $m=m^{\prime }\oplus G(r)$。只要暴力选取的 $m^{\prime }\Vert r^{\prime }$ 中的某一比特不正确，那么获得的结果就是随机乱码。

NTRU

Original

[HPS98] 提出了最初的 NTRU 加密算法，

• 交换环 $R$，互素的理想 $p+q=R$，商环 $R_q=R/qR$ 和 $R_p=R/pR$
• 充分大的子集 $R_f,R_g,R_r,R_m,R_a\subseteq R$
• KeyGen：
  1. 采样 $f\leftarrow R_f$，$g\leftarrow R_g$
  2. 预计算并存储 $f_q^{-1}(\mathrm{mod}q)$ 和 $f_p^{-1}(\mathrm{mod}p)$
  3. 计算 $h=p\cdot g\cdot f_q^{-1}(\mathrm{mod}q)$，它在 $R_q$ 中统计均匀
  4. 私钥 $f$，公钥 $h$
• Enc：给定消息 $m\in R_m$
  1. 采样 $r\leftarrow R_r$
  2. 输出 $e=r\cdot h+m(\mathrm{mod}q)$，它是 $R_q$ 中均匀的
• Dec：给定密文 $e\in R/qR$
  1. 计算 $a\equiv f\cdot e(\mathrm{mod}q)$ 使得 $a\in R_a$
  2. 输出 $f_p^{-1}\cdot a(\mathrm{mod}p)$，它是 $m(\mathrm{mod}p)$

可以验证，
$$f\cdot e=p\cdot r\cdot g+f\cdot m\in R_q$$

只要它的规模小于 $q$，那么就可以用 $R_q$ 模拟出正确的 $p\cdot r\cdot g+f\cdot m\in R$，进而可以在 $R_p$ 下解密出正确的消息。我们称 $R$ 上的多项式是窄的（narrow），如果它的系数取值的直径比 $q$ 严格小，
$$\Vert f{\Vert }_{\infty }:=\underset{i}{\max }{f}_i-\underset{i}{\min }{f}_i$$

一般地，选取 $R=\mathbb{Z}[x]/(x^N-1)$ 是卷积多项式环，设置 $R_f,R_g,R_m,R_r$ 是系数取值 { 0 , 1 } \{0,1\} {0,1} 或者 { 0 , ± 1 } \{0,\pm 1\} {0,±1} 的小多项式集合（乘法就是加法和移位，在中等规模参数下甚至比 NTT/FFT 更快）。对于合适的参数，比如 $(p,q)=(2,127)$ 或者 $(p,q)=(3,128)$，$p\cdot r\cdot g+f\cdot m$ 几乎总是窄的。

未进行效率优化的 C 实现，速度比 RSA 快得多：

Optimization

[HS00] 给出了 NTRU 加密方案的优化：提升安全性、提高计算效率

CCA 安全性

为了抵御 CCA 攻击，我们使用 FO 转换。为了抵御字典攻击，我们使用 AONT 模式。[HS00] 组合了两者。

加密：

1. 输入明文 $M=M_1\Vert M_2$，随机采样 $R=R_1\Vert R_2$
2. 令 $H_1,H_2$ 是两个哈希函数（用于 AONT），计算 $m_1=(M_1\Vert R_1)\oplus H_1(M_2\Vert R_2)$，$m_2=(M_2\Vert R_2)\oplus H_2(m_1)$，获得 “伪消息” $m=m_1\Vert m_2$
3. 令 $G$ 是哈希函数（用于 FO），计算随机带 $r=G(M\Vert R)$
4. 输出密文 $e=Enc(m;r)$

解密：

1. 解密获得 $m=Dec(e)$
2. 从 $m=m_1\Vert m_2$ 中解码出消息 $M$ 和随机数 $R$
3. 重新计算随机带 $r=G(M\Vert R)$
4. 检查 $e-m=r\cdot h$ 是否成立（可以只检查少量的系数）
5. 如果检查通过，则输出明文 $M$

容易求逆的模数

NTRU 的主要开销：秘钥生成过程的 $f_q^{-1}$ 和 $f_p^{-1}$，加密过程的 $r\cdot h(\mathrm{mod}q)$，解密过程的 $f\cdot e(\mathrm{mod}q)$ 和 $f_p^{-1}\cdot a(\mathrm{mod}p)$

如果选取
$$f=p\cdot f^{\prime }+1,f^{\prime }\in R$$

它满足 $f=f_p^{-1}=1(\mathrm{mod}p)$，解密过程为
$$f\cdot e=m+p\cdot (g\cdot r+m\cdot f^{\prime })$$

噪声项 $p\cdot (g\cdot r+m\cdot f^{\prime })$ 只要不超过 $q$，那么直接计算
$$m=[f\cdot e{]}_q(\mathrm{mod}p)$$

就得到了正确的明文。

多项式模数

在计算机中设置 $q=2^k$ 时可以快速实现模约简（比特串截断），其他类型的模约简会慢得多（除法）。但是，此时的 $p$ 需要与 $q$ 互素，那么 $p\ge 3$ 是奇数，它的范数过大了，导致噪声项容易越界导致解密错误。

实际上，我们只要求 $p,q$ 是互素的理想，并不限制它是整数。我们可以选取 $p=p(x)\in \mathbb{Z}[x]$，使得它满足
$$(p,q,x^N-1)=(1)=\mathbb{Z}[x]$$

于是就有 $(p)+(q)=R$ 是互素理想。

[HS00] 讨论了 $X^k\pm 1$ 以及 $X^k\pm X^j\pm 1$ 的选取方式，发现它们都不是好的选择。最终它选择了 $p=X+2$，奇数 $N>7$，密文模数 $q=128$，

1. 可以验证
   $$1=(X+2)\cdot (X^{N-1}-2X^{N-2}+\cdots +2^{N-1})-(X^N-1)-128\cdot 2^{N-1}$$

   从而 $(p,q)=1$ 互素

2. 存在同构 $R_p\to {\mathbb{Z}}_{2^N+1}$，
   $$f(x)\mapsto a(-2)$$

   因此 $|R_p|=2^N+1$ 足够大

3. 对于二元系数的多项式子集 $R_m$（大小 $2^N$，并非 $R_2$），存在内射 $R_m\to R_p\cong {\mathbb{Z}}_{2^N+1}$，

   最大元素是偶数项系数非零，$1+(-2{)}^2+\cdots +(-2{)}^{N-1}=(2^{N+1}-1)/3$

   最小元素是奇数项系数非零，$(-2{)}^1+(-2{)}^3\cdots +(-2{)}^{N-2}=-(2^N-2)/3$

我们希望对于任意的 $a(x)\in \mathbb{Z}[x]$，$\mathrm{deg}a(x)\le N-1$，将它转换为某个 “小” 多项式 $b(x)\in \mathbb{Z}[x]$（作为商环 $\mathbb{Z}[x]/(x^N-1,x+2)$ 的代表元），满足

• 剩余类相同：$a(-2)=b(-2)\in {\mathbb{Z}}_{2^N+1}⟺a(x)=b(x)\in R_p$

• 度数不大：$\mathrm{deg}b(x)\le N-1$

• 系数不大：系数的取值为 { 0 , 1 } \{0,1\} {0,1}

• 一个例外：满足 $a(-2)=(2^{N+1}+2)/3(\mathrm{mod}{2}^N+1)$ 的那些 $a(x)$，设置为
  $$b(x)=2+x^2+x^4+\cdots +x^{N-1}$$

[HS00] 给出了关于模数 $p=x+2$ 的模约简算法：输入 $a(x)={\sum }_{i=0}^{N-1}{a}_i{x}^i$，主循环至多执行 $2N+1$ 次，就可以输出满足上述性质的 $b(x)$，

如果$a(x)$ 的系数都是小于 $2^N$ 的正整数，则实际的循环执行次数上界为：$N+1+\log {\max }_i{a}_i$

稀疏的多项式

在 NTRU 计算过程中出现的多项式，$h,e$ 的系数是均匀的，$r,f$ 的系数是小的。假如设置 $r$ 的汉明重量是 $d$，那么乘法 $r\cdot h$ 的复杂度为 $O(dN)$，它包含了 $\left(\genfrac{}{}{0ex}{}{N-1}{d-1}\right)$ 个元素。

如果我们设置随机带 $r(x)=r_1(x)\cdot r_2(x)$，其中 $r_i(x)$ 是重量 $d_i$ 的稀疏多项式，并且保证 $d\approx d_1\cdot d_2$ 依旧有充足的熵，
$$r\cdot h=r_1\cdot (r_2\cdot h)$$

多项式乘法的复杂度仅仅为 $O(d_{1}N+d_{2}N)$（空间分割，把复杂度中的乘法变成了加法）

私钥 $f$ 也可以类似的处理，
$$f=1+p\cdot (f_1\cdot f_2+f_3)$$

并且可以通过拒绝采样技术，使得 $f$ 的系数都是 { 0 , 1 } \{0,1\} {0,1} 的。原则上这降低了秘钥空间的大小，但是敌手依旧需要尝试计算出 $f^{\prime }=f_1\cdot f_2+f_3$ 之后，才能判断它是否是一个合法秘钥。解密运算
$$f\cdot e=e+pe{f}_1{f}_2+pe{f}_3$$

计算复杂度为 $O(d_{1}N+d_{2}N+d_{3}N)$

Provably Seure

[SS11] 给出了第一个标准模型下可证明安全的 NTRU 加密/签名方案。

首先，对参数的选取做了修改：

KeyGen 算法：

可证明安全的 NTRU 加密方案：

可以证明公钥 $pk=h$ 是均匀的（难以恢复出私钥 $sk=f$），

NTRU 方案的 IND-CPA 安全性归约到了 RLWE 问题，进而归约到理想格上的 Approx-SVP 问题：