NIST竞争中的NTRUencrypt

Question

为什么NTRUencrypt团队在NIST第二轮比赛中不保持NTRU1024版本？

这是因为速度性能还是安全性能或其他原因？

Answer 1

论PQC论坛已经回答了这个问题。El Hassane Laaji提出了这个问题：

你好，NTRU团队，你能告诉我，为什么你没有保留NTRUencrypt-1024版本，是因为速度性能还是安全性能。诚挚的问候。

约翰·施恩克的答复是：

谢谢你的问题。为了澄清其他问题，在第一轮NTRUEncrypt提交中提出了"NTRUencrypt-1024“参数集，以便与ss-ntru-pke和ss-ntru-kem方案一起使用。我把你的问题分成两部分：

• 我们为什么不推荐斯恩楚？
• 为什么我们不推荐使用ZX/(x^1024 + 1)的NTRU变体？

关于ss- NTRU :在固定的安全级别上，NTRU和LWE方案在

1. 解密过程的正确性，
2. 系数分布的宽度，
3. 公钥和密文的紧凑性。

第二轮NTRU小组想要一个具有正确解密过程的紧凑方案。在ss-ntru中使用的系数分布不符合这一目标。关于ZX/(x^1024 + 1)：我们不清楚是否真的需要使用这么大的n设置NTRU参数。我们推荐的最大n是821。最佳，John (代表NTRU团队)