NTRU的代数变体

Question

有大量的代数NTRU变体:例如，在一些(例如ETRU)中，底层环已被更改为某个数域的整数环；有GR- NTRU，它在群环上；在四元数上有NTRU，在四元数上有NTRU，甚至还有其他一些非交换和非结合方案。我知道非交换性有助于避免Coppersmith和Shamir的攻击，但我的问题是:这些变体中的任何一个被认为基本上优于标准的NTRUEncrypt吗？这些变体的更奇异的代数结构是否被专家认为更可取，还是这些方案在学术上很有趣，但不实用/不值得实际使用？

Answer 1

如果将讨论扩展到包括LWE型方案，那么模块-LWE自然不是一个具有实际应用价值的“非交换”硬度假设吗？例如，Kyber NIST PQC候选人是MLWE方案，是第3轮决赛。

不过，总的来说，我看到的大多是“奇异”的格(至少比RLWE/MLWE之类的东西更多)编码理论家讨论的代数结构(两个具体的例子是Fredrique Oggier和Cong Ling)。由于似乎有更大的理论基础来研究事物的“那一面”，因此可能更容易寻找实际的应用。