IEEE 1363.1标准的NTRU后量子安全吗？

Question

我有一个问题，关于IEEE 1363.1标准的NTRU与填充，这提供了CCA的安全。IEEE标准化实现也提供后量子安全吗？

另外，IEEE 1363.1 NTRU标准与NTRUEncrypt NIST提交的主要区别在这里：https://csrc.nist.gov/Projects/Post-Quantum-Cryptography/Round-1-Submissions

或者，NTRUEncrypt提交的NIST竞赛与IEEE 1363.1标准完全相同吗？与IEEE 1363.1中的参数相比，支持PQ安全性的参数集是否存在差异？

声称IEEE 1363.1也是安全的是正确的吗？

Answer 1

实际上，原来版本NTRU的某些参数集可能比预期的更容易受到攻击；这种攻击不是针对NTRU问题本身，而是针对NAEP填充。有关详细信息，请参阅本论文；还有本论文 (不过，我认为这是反对早期版本的NTRU的)。

当“安全创新”向NIST提交时，他们更新了NAEP填充，以说明这一攻击。因此，NIST提交与IEEE版本不完全相同(甚至超出了不同的参数集)。

如果量子安全性受到质疑，那么使用最新版本当然是有意义的。目前还不清楚这些攻击是否是真正的威胁；然而，就最新版本而言，我们知道它们不是。