NTRU – הבדלי גרסאות

NTRU^[1] היא מערכת הצפנת מפתח ציבורי וחתימה דיגיטלית מבוססת סריגים מוגנת בפטנט וקוד פתוח ברישיון GPL, שהומצאה ב-1996 והוצעה כתקן חלופי למערכות הקיימות RSA ו-ECC. נכללת ברשימת האלגוריתמים הפוסט-קוונטיים וידועה כמערכת האסימטרית המהירה והיעילה ביותר נכון לשנת 2016. למרות היותו בתהליך תיקנון Std 1363.1 של IEEE וכן X9.98 של ASC, בשל קריפטואנליזה שלו ביטחונו אינו ברור והוא מוטל בספק. קיימת גרסה אחת של Damien Stehlé ו- Ron Steinfeld שנמצאת בתהליך תקנון וניתנת להוכחה כבטוחה לפי המודל הסטנדרטי, היא פחות יעילה ומסתמכת על R-LWE^[2].

הגרסה הראשונה הומצאה ב-1996 על ידי Jeffrey Hoffstein ,Joseph Silverman ו- Jill Pipher. מאוחר יותר באותה שנה חברו המפתחים ל-Daniel Lieman ויסדו את חברת NTRU Cryptosystems שנרכשה ב-2009 על ידי Security Innovation^[3].

שם הצופן הוא קיצור של Nth Degree Truncated Polynomial Ring Units כלומר חוג הפולינומים ממעלה ${\displaystyle N-1}$ או בסימון מתמטי: ${\displaystyle R[x]/(x^{N}-1)}$. השם מבוטא: "אֶנְטרוּ".

ב-2013 פותחה גרסה של NTRU^[4] המוכחת כבטוחה ואשר נחקרת על ידי קבוצות המחקר של IEEE ופרויקט PQCRYPTO כמועמדת "פוסט-קוונטית" להחלפת האלגוריתמים התיקניים הנמצאים בשימוש מסחרי. ב-2016 הציעו דניאל ברנשטיין וחוקרים נוספים את NTRU Prime^[5] שהוא שיפור של NTRU המתמקד בחוג פולינומים של המערכת ואמור לספק עמידות נגד קריפטואנליזה שמנצלת חולשות הנובעות ממבנה החוג.

בהשוואת ביצועים לעומת RSA ו-ECC למשל (ראה טבלה), נמצא ש-NTRU מציגה תוצאות טובות בהרבה^[6]. זמן הביצוע של הפעולות הפרטיות בצד המקבל אינו גדל באופן ריבועי כמו ב-RSA. בניסויים שנעשו NTRU השיגה זמן ביצוע בחומרה של כ-200,000 הצפנות לשנייה ברמת ביטחון של 256 סיביות.

חברת Security Innovation מציעה פרסים של עד 90,000 דולר למי שיצליח לפרוץ את אחד ממספרי האתגר מהרשימה שפורסמה^[7].

הצפנת NTRU^[8] משתמשת בטכניקת ערבוב המבוססת על אלגברה בחוג הפולינומים והאינטראקציה שלה עם חשבון מודולרי ואילו הפענוח הוא הפעולה ההפוכה כלומר שחזור פעולת הערבוב במידה מסוימת בסיוע תורת ההסתברות. בדומה ל-GGH ביטחון מערכת ההצפנה NTRU נשען במידה ניכרת על הבעיה הקשה שבמציאת הווקטור הקרוב ביותר בתורת הסריגים בקיצור SVP. מערכת זו נכללת בקטגוריה הצפנה הסתברותית, שפירושה שהיא כוללת אלמנט אקראי שונה בכל הצפנה. מה שמייחד אותה היא העובדה שההצפנה והפענוח הם בסיבוכיות של ${\displaystyle O(N^{2})}$ פעולות עבור בלוק מסר בגודל ${\displaystyle N}$ בהשוואה ל-RSA שדורשת ${\displaystyle N^{3}}$ פעולות ביישום רגיל לא ממוטב. אורך המפתח הוא ${\displaystyle O(N)}$ והוא קטן במידה ניכרת בהשוואה לשיטות דומות כמו הצפנת מקאליס או GGH.

הגרסה המקורית של NTRU כוללת ארבעה פרמטרים בסיסיים ${\displaystyle (N,p,q,d)}$ וכן ארבע קבוצות פולינומים ${\displaystyle {\mathcal {L}}_{f},{\mathcal {L}}_{g},{\mathcal {L}}_{\phi },{\mathcal {L}}_{m}}$ ממעלה ${\displaystyle N-1}$ עם מקדמים שלמים המייצגים את טווח המפתח הפרטי והציבורי, טווח האלמנט האקראי וטווח המסר בהתאמה (מפורטים בהמשך). ${\displaystyle N}$ הוא מספר ראשוני ונקרא כאן פרמטר ביטחון והוא קובע את רמת הביטחון של המערכת בהתאם לדרישה, ${\displaystyle d}$ מציין את מספר המקדמים החיוביים והשליליים (מפורט בהמשך). ${\displaystyle p}$ ו-${\displaystyle q}$ נקראים מודולוס ומשמשים לצמצום המקדמים. הם לא חייבים להיות ראשוניים אך נדרש שיתקיים ${\displaystyle {\text{gcd}}(p,q)={\text{gcd}}(N,q)=1}$ (כאשר ${\displaystyle {\text{gcd}}}$ היא פונקציית מכנה משותף מינימלי). וכן ${\displaystyle q}$ צריך להיות גדול משמעותית מ-${\displaystyle p}$ למשל ${\displaystyle q>(6d+1)p}$ (אם כי זה לא הכרחי ומסיבות של יעילות רצוי ${\displaystyle q}$ פחות גדול). הפעולות של הצופן הן בחוג הפולינומים ${\displaystyle R=\mathbb {Z} [X]/(X^{N}-1)}$. האלמנט ${\displaystyle F\in R}$ הוא פולינום המיוצג על ידי הווקטור:

כאן מכפלת שני פולינומים (וקטורים ב-${\displaystyle R}$) מיוצגת על ידי הסימן ${\displaystyle \circledast }$. היא נקראת גם קונבולוציה מעגלית והיא מוגדרת כך:

בעיקרון פעולת כפל אלמנטים ב-${\displaystyle R}$ היא בסיבוכיות ${\displaystyle N^{2}}$ פעולות כפל בסיסיות מודולו ${\displaystyle q}$, אם המקדמים קטנים שזה מה שקורה בממוצע, הפעולה תהיה מהירה. אם המקדמים גדולים ייתכן שיהיה יותר מהיר להפעיל את FFT בסיבוכיות זמן של ${\displaystyle O(N{\text{log}}N)}$ פעולות.

לצורך NTRU משתמשים בפולינום טרינארי שהוא פולינום שבו המקדמים ${\displaystyle a_{i}\in \{-1,0,1\}}$. מייצגים זאת על ידי הסימון ${\displaystyle {\mathcal {T}}(d_{1},d_{2})}$ שפירושו שבפולינום ${\displaystyle f(x)\in R}$ בסך הכול ${\displaystyle d_{1}}$ מקדמים שווים ${\displaystyle 1}$, בסך הכול ${\displaystyle d_{2}}$ מקדמים שווים ${\displaystyle -1}$ והיתר אפס. לדוגמה:

קיים מיפוי טבעי (הומומורפי) בין האלמנטים בחוג ${\displaystyle R}$ לבין אלמנטים מהחוג ${\displaystyle R_{q}}$ (מודולו ${\displaystyle q}$) המיפוי הוא פשוט צמצום המקדמים מודולו ${\displaystyle q}$. לפעמים דרוש מעבר בכיוון ההפוך, כלומר אם ${\displaystyle a(x)\in R_{q}}$ הוא פולינום, אפשר לבצע "הגבהה" או "מרכוז" (center lift) שלו כך שיתקבל פולינום ${\displaystyle a'(x)\in R}$ המקיים ${\displaystyle a'(x){\text{ mod }}q=a(x)}$, בוחרים את המקדמים באופן כזה שהם יהיו בטווח:

${\displaystyle -{\frac {q}{2}}<a_{i}'\leq {\frac {q}{2}}}$

כלומר אם לאחר צמצום ב-${\displaystyle q}$ מתקבל ${\displaystyle a_{i}\geq q/2}$ ערכו יהיה ${\displaystyle a_{i}=a_{i}-q}$. לדוגמה אם ${\displaystyle N=5,q=7}$ ונתון הפולינום ${\displaystyle a(x)=4x^{4}+2x^{3}-6x^{2}+3x+5}$ ה-center lift שלו הוא הפולינום ${\displaystyle a'(x)=-3x^{4}+2x^{3}+x^{2}+3x-2}$ כשהמקדמים הם השלמים בטווח ${\displaystyle [-3,3]}$.

תיאור הפונקציה NTRUencrypt. להכנה המקבל בוב מכין בסוד שני פולינומים טרינאריים ${\displaystyle f,g\in {\mathcal {L}}_{g}}$. הפולינום ${\displaystyle f}$ חייב להיות הפיך מודולו ${\displaystyle p}$ ומודולו ${\displaystyle q}$. לכן הוא נבחר בצורה ${\displaystyle {\mathcal {T}}(d+1,d)}$ (במקרה של <${\displaystyle {\mathcal {T}}(d,d)}$ לפולינום אף פעם אין הופכי ב${\displaystyle R_{q}}$). חישוב ההופכי שלו נעשה עם אלגוריתם אוקלידס המורחב. ההופכיים שלו מסומנים כאן ${\displaystyle f_{p}^{-1}}$ ו-${\displaystyle f_{q}^{-1}}$ כאשר מתקיים כרגיל:

לאחר מכן בוב מחשב את מכפלת הפולינומים: ${\displaystyle h\equiv f_{q}^{-1}\circledast g{\text{ (mod }}q)}$.

המפתח הציבורי של בוב הוא ${\displaystyle h}$ אותו הוא שולח לאליס בערוץ פתוח כלשהו (כמו בכל מערכת הצפנה חלה החובה לאמתו). המפתח הפרטי הוא הפולינום ${\displaystyle f}$ (וכן ההופכיים שלו כאמור) והוא נשמר בסוד. הפולינום ${\displaystyle g}$ אינו נחוץ להצפנה ופענוח ולכן יש להשמידו.

אם אליס רוצה להצפין עבור בוב את המסר ${\displaystyle m\in {\mathcal {L}}_{m}}$. (כלומר המסר צריך להיות ממופה לפולינום טרינארי מהקבוצה ${\displaystyle {\mathcal {L}}_{m}}$ בדרך גלויה ומוסכמת על כל הצדדים). היא בוחרת פולינום אקראי חד-פעמי ${\displaystyle \phi \in {\mathcal {L}}_{\phi }}$ המשמש להסתרת המסר ומשתמשת במפתח הציבורי של בוב כדי לחשב את:

ושולחת את ${\displaystyle c}$ לבוב.

לפענוח בוב משתמש במפתח הפרטי שלו ${\displaystyle f}$ וההופכי שלו כדי לחשב את:

המקבל משנה את המקדמים של ${\displaystyle a}$ כך שיהיו בטווח ${\displaystyle [-q/2,q/2]}$ פעולה זו נקראת center-lift. כעת אם מתייחסים ל-${\displaystyle a}$ כאל פולינום עם מקדמים שלמים בוב יכול לחלץ את המסר על ידי:

הפענוח יצליח בהסתברות גבוהה מאוד, אם כי פרמטרים מסוימים עלולים לגרום בסבירות זניחה לכישלון בפענוח. מקרה זה נגרם כתוצאה מכך שהמסר אינו ממורכז כראוי, אפשר לנסות שוב עם מקדמים בהיסט קל מהטווח האמור למשל בין ${\displaystyle -q/2+x}$ ל-${\displaystyle q/2+x}$ עבור ${\displaystyle x}$ קטן כלשהו ואם גם זה נכשל לא ניתן לפענח את המסר כלל. כאמור אירוע כזה זניח ואפשר להתעלם ממנו בפועל. הוכחה לנכונות הפענוח היא:

בבחירת פרמטרים נכונה מקדמי הפולינום האחרון כמעט תמיד בטווח ${\displaystyle [-q/2,q/2]}$ ולכן אינו משתנה כשמצמצמים מודולו ${\displaystyle q}$. המשמעות היא שכאשר בוב מצמצם את המקדמים של ${\displaystyle f\circledast c}$ מודולו ${\displaystyle q}$ הוא מקבל את הפולינום ${\displaystyle a=p\phi \circledast g+f\circledast m}$ בחוג ${\displaystyle \mathbb {Z} [X]/(X^{N}-1)}$ וכאשר הוא מצמצם את המקדמים של ${\displaystyle a}$ מודולו ${\displaystyle p}$ הוא מבטל את ${\displaystyle p\phi \circledast g}$ ומקבל את הפולינום ${\displaystyle f\circledast m{\text{ (mod }}p)}$ אותו הוא יכול להכפיל ב-${\displaystyle f_{p}^{-1}}$ כדי לחלץ את ${\displaystyle m}$.

הרעיון של האלגוריתם NTRUsign הוא שהחתימה היא הוכחה שהחותם יכול פתור את בעיית הווקטור הקצר ביותר (SVP) בסריג NTRU של הנקודה המיוצגת על ידי המסמך או תמצית שלו. המפתח הפרטי (מפתח החתימה) שלו הוא בסיס קצר של הסריג NTRU והמפתח הציבורי (מפתח האימות) הוא בסיס הרבה יותר ארוך. המוודא יכול בקלות לראות שאכן החתימה היא באמת וקטור קרוב ביותר למסמך. אך עם המפתח הציבורי המוודא אינו יכול בעצמו או שזה קשה מאוד עבורו למצוא וקטור קרוב.

מאז המצאתו והצגתו ביורוקריפט 2001, אלגוריתם החתימה NTRUSign סובל מהיסטוריה של בעיות וכשלים רבים ובוצעו מספר תיקונים ותוספות טלאים. תחילה גילו Craig Gentry ו-Mike Szydlo^[9] בגרסה המקורית תקלה חמורה, עותקים של החתימה הדיגיטלית חושפים מידע לגבי המפתח הפרטי. המפתחים תקנו את הבעיה ופרסמו אלגוריתם משופר וכן הצעה לתקן R-NSS. ב-2006 פרסמו עודד רגב ו-Phong Nguyen קריפטואנליזה^[10] של חתימת NTRU המאפשרת לחשוף את המפתח הפרטי בזמן מאוד קצר תוך שימוש ב-400 חתימות בלבד. הפתרון שהוצע היה "הסטה" (perturbation) כלומר החותם מסיט את הנקודה המייצגת את המסר על ידי וקטור סודי קצר. שוב נמצא שהתיקון לא שיפר בהרבה את המצב, בהתקפה שפורסמה^[11] אפשר לחשוף את המפתח הפרטי עם 300,000 חתימות בלבד. נכון לשנת 2016 לא ברור אם האלגוריתם ראוי לשימוש במתכונתו הנוכחית למרות התיקונים והטלאים שנוספו.

תחילה החותם בוב בוחר פרמטרים מתאימים ${\displaystyle (N,q,d)}$ באופן כזה שבעיית הווקטור הקצר תהיה קשה לפתרון בסריג בעל מימד ${\displaystyle 2N}$ מודולו ${\displaystyle q}$. כמפתח הסודי הוא בוחר שני פולינומים טרינאריים ${\displaystyle f(x)}$ ו-${\displaystyle g(x)}$ מהצורה ${\displaystyle {\mathcal {T}}(d+1,d)}$ ומחשב את המפתח הציבורי ${\displaystyle h(x)=f(x)^{-1}\circledast g(x){\text{ (mod }}q)}$ בדיוק כמו בתהליך ההכנה של הצפנת NTRU. את ${\displaystyle h(x)}$ הוא שולח כמפתח אימות לאליס ושומר בסוד את כל היתר.

כדי לחתום על מסמך ${\displaystyle D=(d_{1},d_{2})}$ (המסמך מחולק לשני פולינומים שווים), תחילה באמצעות אלגוריתם אוקלידס המורחב מחשב שני פולינומים נוספים ${\displaystyle F(x),G(x)}$ שנקראים "חצי בסיס משלים" לסריג NTRU כך שמתקיים ${\displaystyle f(x)\circledast G(x)-g(x)\circledast F(x)=q}$. ומחשב את שני הווקטורים:

${\displaystyle v_{1}(x)=\left\lfloor {\frac {d_{1}(x)\circledast G(x)-d_{2}(x)\circledast F(x)}{q}}\right\rceil }$

${\displaystyle v_{2}(x)=\left\lfloor {\frac {d_{1}(x)\circledast g(x)-d_{2}(x)\circledast f(x)}{q}}\right\rceil }$

כאשר הסימון ${\displaystyle \left\lfloor p(x)\right\rceil }$ מייצג פולינום עם מקדמים המעוגלים לשלם הקרוב ביותר. החתימה של בוב על המסמך ${\displaystyle d(x)}$ היא: ${\displaystyle s(x)=v_{1}(x)\circledast f(x)+v_{2}(x)\circledast F(x)}$. את החתימה והמסמך ${\displaystyle (D,s)}$ הוא שולח לאליס.

המקבלת אליס המעוניינת לוודא את חתימתו של בוב משתמשת במפתח הציבורי שלו ${\displaystyle h(x)}$ כדי לחשב את:

${\displaystyle t(x)=h(x)\circledast s(x){\text{ (mod }}q)}$.

היא בוחרת את המקדמים שלו מודולו ${\displaystyle q}$ כך שיהיו קרובים ככל האפשר למקדמים המקבילים של המסמך ${\displaystyle d(x)}$ ומוודא שהווקטור ${\displaystyle (s,t)}$ אכן קרוב למסמך ${\displaystyle d_{1},d_{2}}$ (כאמור קל לוודא זאת אך קשה למצוא וקטור כזה, מסיבה זו אליס עצמה או כל אחד אחר לא יוכל לחתום על המסמך מבלי שהדבר יתגלה כתרמית ללא המפתח הפרטי המתאים, כיוון שבהסתברות גבוהה מאוד התוצאה תהיה וקטור רחוק למדי).

• כדי לשבור את הצופן המתקיף יכול לנסות כמה דרכים. בשיטת כוח גס המתקיף יכול לנסות לנחש את המפתח הפרטי על ידי ניסוי כל האפשרויות של ${\displaystyle f\in {\mathcal {L}}_{f}}$ ובדיקה אם המכפלה ${\displaystyle f\circledast h}$ מודולו ${\displaystyle q}$ מכילה כניסות קטנות. באותה שיטה אפשר לנסות לנחש את המסר. בעיקרון סודיות המפתח תלויה בגודל הקבוצה ${\displaystyle {\mathcal {L}}_{g}}$ וביטחון מסר מוצפן ב-${\displaystyle {\mathcal {L}}_{\phi }}$.
• אם זיכרון זמין התקפת ניפגש באמצע מאפשרת לקצר את זמן הניחוש של המפתח הפרטי בפקטור ריבועי. מחלקים את ${\displaystyle f}$ לשני חצאים נניח ${\displaystyle f=(f_{1},f_{2})}$ ואז משווים זוגות שונים של ${\displaystyle f_{1}\circledast c}$ ו-${\displaystyle -f_{2}\circledast c}$ כן שמקדמיהם בעלי ערך דומה בקירוב. החיפוש מתבצע עם טבלה המכילה רשימה ממוינת של החצי האחד והחיפוש מתבצע על החצי השני עד שנמצא מועמד טוב. לאור זאת הטווח או מספר האלמנטים בקבוצה צריך להיות כפול כדי להגיע לרמת ביטחון נדרשת. לדוגמה עבור ביטחון מינימלי בסטנדרטים של ימינו ${\displaystyle 2^{80}}$ הטווח של ${\displaystyle f}$, ${\displaystyle g}$ ו-${\displaystyle \phi }$ צריך להיות בסביבות ${\displaystyle 2^{160}}$.
• אם אליס מצפינה מסרים רבים (נגיד ארבעה או חמישה) עם אותו מפתח ציבורי אך עם מספר אקראי שונה עבור כל מסר כנדרש, המתקיף יכול לנצל נתון זה כדי לשבור את המערכת ולנחש את המסר כדלהלן: נניח שאליס הצפינה את ${\displaystyle c_{i}=\phi _{i}\circledast h+m{\text{ (mod }}q)}$ בסך הכול ${\displaystyle r}$ פעמים עם ${\displaystyle r}$ ערכי ${\displaystyle \phi }$ שונים. המתקיפה איב יכולה לחשב את ${\displaystyle (c_{i}-c_{1})\circledast h^{-1}}$ ומתקבל ${\displaystyle \phi _{i}-\phi _{1}}$ עבור ${\displaystyle 1\leq i\leq r}$. היות שהמקדמים של ${\displaystyle \phi _{i}}$ קטנים למעשה היא מקבלת בהסתברות גבוהה את ${\displaystyle \phi _{i}-\phi _{1}}$ ממנו היא יכולה לגלות מקדמים רבים של ${\displaystyle \phi _{1}}$ ואת היתר היא יכולה לנחש בכוח גס. אם ${\displaystyle \phi _{1}}$ ידוע אפשר לגלות את ${\displaystyle m}$. מסיבה זו הצפנה חוזרת של מסר נתון אינה מומלצת מבלי להסתיר את המסר על ידי פעולת ערבוב נוספת כלשהי עם אקראיות. כמובן שההתקפה המתוארת יעילה רק עבור מסר אחד ואין בה כדי לסייע בפענוח מסרים אחרים.
• בעיית חישוב המפתח הפרטי מתוך המפתח הציבורי היא: בהינתן ${\displaystyle h(x)}$ מצא שני פולינומים טרינאריים ${\displaystyle f(x)}$ ו-${\displaystyle g(x)}$ המקיימים ${\displaystyle f(x)\circledast g(x)\equiv h(x){\text{ (mod }}q)}$. הוכח שבעיה זו כמעט שקולה לבעיית הווקטור הקצר ביותר במחלקה מיוחדת של סריגים. תאורטית המתקיף יכול לנסות לשבור את המערכת על ידי ניסיון לפתור את בעיית הווקטור הקצר ביותר. אפשר למצוא וקטור כזה בחיפוש ממצא או עם אלגוריתם LLL אך סיבוכיות התקפה כזו לרוב אינה מעשית היות שבעיית הווקטור הקצר ביותר ידועה כבעיה קשה מאוד ולא ידוע על פתרון פולינומי.

המפתחים הציעו שלוש קונפיגורציות של פרמטרים המציעות דרגות שונות של ביטחון מהקל אל הכבד:

אופציה 1. ביטחון נמוך המתאים למסרים בעלי חשיבות נמוכה או כאשר המפתחות מוחלפים בתדירות גובהה, כמו בהצפנת שיחה אלחוטית או ממיר טלוויזיה.

${\displaystyle (N,p,q,d)=(107,3,64,5),{\mathcal {L}}_{f}={\mathcal {L}}(15,14),{\mathcal {L}}_{g}={\mathcal {L}}(12,12),{\mathcal {L}}_{\phi }={\mathcal {L}}(5,5)}$. הפולינום ${\displaystyle {\mathcal {L}}_{f}={\mathcal {L}}(15,14)}$ פירושו פולינום טרינארי שמכיל 15 מקדמים חיוביים (${\displaystyle 1}$) ו-14 מקדמים שליליים (${\displaystyle -1}$).

המפתח הפרטי הוא באורך 340 סיביות והמפתח הציבורי באורך 642 סיביות. דרגת ביטחון של המפתח היא ${\displaystyle 2^{50}}$.

אופציה 2. ביטחון בינוני.

${\displaystyle (N,p,q,d)=(167,3,128,18),{\mathcal {L}}_{f}={\mathcal {L}}(61,60),{\mathcal {L}}_{g}={\mathcal {L}}(20,20),{\mathcal {L}}_{\phi }={\mathcal {L}}(18,18)}$

המפתח הפרטי באורך 530 סיביות והציבורי 1169 סיביות. רמת ביטחון של ${\displaystyle 2^{82.9}}$.

אופציה 3. ביטחון גבוה.

${\displaystyle (N,p,q,d)=(503,3,256,55),{\mathcal {L}}_{f}={\mathcal {L}}(216,215),{\mathcal {L}}_{g}={\mathcal {L}}(72,72),{\mathcal {L}}_{\phi }={\mathcal {L}}(55,55)}$

אורך מפתח פרטי 1595 סיביות וציבורי 4024 סיביות. רמת ביטחון של ${\displaystyle 2^{285}}$.

הדוגמה הבאה ממחישה את הצפנת NTRU במספרים קטנים. כמובן שבפועל מערכת כזו צריכה להיות בקנה מידה הרבה יותר גדול כדי שתהיה בטוחה. נניח שהפרמטרים של המערכת הם:

${\displaystyle (N,p,q,d)=(7,3,41,2)}$

להכנה בוב בוחר את הפולינומים:

${\displaystyle f(x)=x^{6}-x^{4}+x^{3}+x^{2}-1\in {\mathcal {T}}(3,2)}$ וכן

${\displaystyle g(x)=x^{6}+x^{4}-x^{2}-x\in {\mathcal {T}}(2,2)}$

ומחשב את ההופכיים שלהם:

${\displaystyle f_{q}^{-1}=f(x)^{-1}{\text{ mod }}q=8x^{6}+26x^{5}+31x^{4}+21x^{3}+40x^{2}+2x+37{\text{ (mod }}41)}$

${\displaystyle f_{p}^{-1}=f(x)^{-1}{\text{ mod }}p=x^{6}+2x^{5}+x^{3}+x^{2}+x+1{\text{ (mod }}3)}$

בוב שומר את ${\displaystyle f(x)}$ ואת ההופכי שלו ${\displaystyle f_{q}^{-1}}$ כמפתח פרטי.

כעת בוב מחשב ומפרסם ברבים את המפתח הציבורי שלו:

${\displaystyle h(x)=f_{q}^{-1}\circledast g(x)=20x^{6}+40x^{5}+2x^{4}+38x^{3}+8x^{2}+26x+30{\text{ (mod }}41)}$

נניח שאליס מעוניינת לשלוח לבוב את המסר: ${\displaystyle m(x)=-x^{5}+x^{3}+x^{2}-x+1}$

תחילה היא בוחרת מספר אקראי נניח: ${\displaystyle r(x)=x^{6}-x^{5}+x-1}$ משתמשת במפתח הציבורי של בוב ומחשבת את:

${\displaystyle c(x)=p\ r(x)\circledast h(x)+m(x)\equiv 31x^{6}+19x^{5}+4x^{4}+2x^{3}+40x^{2}+3x+25{\text{ (mod }}41)}$

אותו היא שולחת לבוב. כאשר בוב מקבל את ${\displaystyle c(x)}$ הוא פועל כדלהלן. תחילה מחשב את:

${\displaystyle f(x)\circledast c(x)\equiv x^{6}+10x^{5}+33x^{4}+40x^{3}+40x^{2}+x+40{\text{ (mod }}41)}$

ואז מבצע מרכוז (Centerlift) של מקדמי התוצאה מודולו ${\displaystyle q}$ ומקבל את:

${\displaystyle a(x)=x^{6}+10x^{5}-8x^{4}-x^{3}-x^{2}+x-1}$

לבסוף מצמצם את מקדמי ${\displaystyle a(x)}$ מודולו ${\displaystyle p}$ ומכפיל בהופכי:

${\displaystyle f_{p}^{-1}(x)\circledast a(x)\equiv 2x^{5}+x^{3}+x^{2}+2x+1{\text{ (mod }}3)}$

ממרכז (Centerlift) את התוצאה האחרונה מודולו ${\displaystyle p}$ ומקבל את:

${\displaystyle m=-x^{5}+x^{3}+x^{2}-x+1{\text{ (mod }}3)}$

הצפנות מבוססות סריגים נכשלו לא אחת בגלל התקפות שניצלו מבנה מיוחד של הסריג למשל בחוג הפולינומים או שדה מסדר ראשוני גבוה. מסיבה זו הוצעו מספר מבנים שונים שנועדו לחזק את המערכת נגד קריפטואנליזה המנצלת חולשות הנובעות ממבנה החוג וכן נגד קריפטואנליזה קוונטית. כמה מבנים אפשריים הם:

• ${\displaystyle (\mathbb {Z} /q)[x](x^{p}-1)}$ כאשר ${\displaystyle p}$ ראשוני ו-${\displaystyle q}$ הוא חזקה של 2 כמו בגרסה המקורית של NTRU.
• ${\displaystyle (\mathbb {Z} /q)[x](x^{p}+1)}$ כאשר ${\displaystyle p}$ הוא חזקה של 2 ו-${\displaystyle q\in 1+2p\mathbb {Z} }$ גם ראשוני. מבנה זה הוצע על ידי Damien Stehlé ו-Ron Steinfeld לשיפור NTRU כך שיהיה בעל ביטחון מוכח וכן נמצא בשימוש RingLWE.
• ${\displaystyle (\mathbb {Z} /q)[x](x^{p}-x-1)}$ כאשר ${\displaystyle p}$ ראשוני. הוצע על ידי דניאל ברנשטיין ואחרים כתחליף טוב יותר למבנה החוג ב-NTRU.

ב-2011 הציעו Damien Stehlé ו-Ron Steinfeld גרסה משופרת^[12] בשינויים קלים של הצפנה/חתימה דיגיטלית NTRU המוכחת כבטוחה נגד התקפת מוצפן-נבחר במסגרת מודל אורקל אקראי או מודל סיבוכיות סטנדרטי, תחת הנחת הקושי שבפתרון בעיות סריגים (במחשב קלאסי או קוונטי) עם הגבלה לסוג מסוים של סריגים מעל שדה ציקלוטומי. הם הראו שאם בוחרים את הפולינומים הסודיים של המקבל כפונקציית גאוסיין בדידית אז המפתח הציבורי ייראה מבחינה סטטיסטית אחיד ובלתי ניתן להבחנה מעל הטווח שלה. תכונת אי-הבחנה בהקשר של מפתח ציבורי פירושה קושי בניחוש המפתח הפרטי מתוך המפתח הציבורי.

בתהליך ההכנה של NTRU. המפתח הפרטי הוא שני פולינומים "דלילים" ממעלה הנמוכה מ-${\displaystyle n}$ עם מקדמים ${\displaystyle \{-1,0,1\}}$. המפתח הציבורי הוא המנה שלהם בחוג ${\displaystyle \mathbb {Z} _{q}[x]/(x^{n}-1)}$. בחירת המפתח הפרטי נעשית כפונקציה גאוסיאנית בדידית באופן כזה שסטיית התקן תהיה בערך ${\displaystyle q^{1/2}}$. השינויים שהוצעו לעומת הגרסה המקורית הם כדלהלן:

1. החלפת חוג הפולינומים ב-${\displaystyle R=\mathbb {Z} /(x^{n}+1)}$ כאשר ${\displaystyle n}$ הוא חזקה של 2. כך מתקבל חוג שלמים מעל שדה ציקלוטומי.
2. ${\displaystyle q}$ הוא ראשוני כך שמתקיים ${\displaystyle f=x^{n}+1}$ מתחלק ל-${\displaystyle n}$ גורמים (העתקות ליניאריות) שונים מודולו ${\displaystyle q}$.
3. ${\displaystyle f}$ ו-${\displaystyle g}$ נלקחים מתוך דגימה גאוסיאנית דיסקרטית מעל החוג ${\displaystyle R}$, בתנאי שהם הפיכים מודולו ${\displaystyle q}$. אם הם אינם הפיכים מתעלמים מהדגימה ומנסים דגימה אחרת עד שהתנאי מתקיים. כמו כן ${\displaystyle f}$ הוא מהצורה ${\displaystyle f=p{\bar {f}}+1}$ כאשר ${\displaystyle {\bar {f}}}$ הוא הדגימה הגאוסיאנית האמורה. התוספת האחרונה מקלה על הפענוח כי אם מתקיים ${\displaystyle f=1{\text{ mod }}p}$ לא צריך את ההכפלה האחרונה בהופכי של ${\displaystyle f}$.
4. מוסיפים וקטור שגיאה קטן ${\displaystyle e}$ להצפנה כך שההצפנה כעת היא: ${\displaystyle c=hs+pe+m{\text{ (mod }}q)}$, כאשר ${\displaystyle e}$ נבחר טווח השגיאה של בעיית RingLWE.

השינויים הללו מעלים מעט את סיבוכיות ההצפנה לעומת ההצעה המקורית, בעיקר בגלל התוספות האמורות, אך בתמורה מושג שיפור משמעותי בביטחון ההצפנה.

NTRU נמצא בתהליך תקינה של שני גופים בינלאומיים:

• תקן IEEE 1363.1 שהחל ב-2008^[13].
• תקן X9.98 של ASC X9 (מכון התקנים האמריקני)^[14].

בנוסף האלגוריתם הוצע בטיוטת IETF כמועמד לפרוטוקול TLS. ב-2009 הוזכר NTRU על ידי NIST כמועמד אפשרי לאלגוריתם הצפנה אסימטרי פוסט-קוונטי, שיחליף את האלגוריתמים הנוכחיים. במסגרת המאמץ להתכונן לקראת העידן הקוונטי^[15] ב-NIST מתכוונים לפרסם בסוף 2016 תחרות פתוחה^[16] שבה יבחנו הצעות לאלגוריתם פוסט-קוונטי.

NTRU זמינה כקוד פתוח תחת רישיון GPL ו-FOSS. בתנאי שכל שימוש בו יהיה זמין גם הוא כקוד פתוח. זאת במטרה להסיר מכשולים ולאפשר למפתחים להטמיע את האלגוריתם מהר ככל האפשר. כמו כן האלגוריתם ניתן לשימוש מסחרי תחת רישיון BSD. כיום ישנם ב-GitHub שני פרויקטי קוד פתוח ב-C וב-Java המיישמים את NTRU; פרויקט NTRU^[17] תחת רישיון GPL וספריית NTRU^[18] ברישיון BSD.

• הצפנת מפתח ציבורי
• חתימה דיגיטלית
• GGH