第30卷增計(jì)算機(jī)工程2004年12月VoL30 Supplementary IssueComputer EngineeringDecember 2004●安全技術(shù)●文章編號(hào): 1000 -34282004)增刊- -0308- -02文獻(xiàn)標(biāo)識(shí)碼: A中圈分類號(hào): TP393.08NTRU算法的分析陳克耀,謝康林(.上海交通大學(xué)計(jì)算機(jī)科學(xué)與工程系，上海200030)摘要: 介紹了一種新的公開(kāi)密鑰體制NTRU算法，NTRU算 法的安全性是基于數(shù)論中在-一個(gè)非常大的維數(shù)格中尋找一個(gè)很短向量的數(shù)學(xué)難題。NTRU算怯與RSA等算法相比具有更高的運(yùn)算速度，更快的密鑰生成速度和更少的存儲(chǔ)空間，盡管在安全性方面與RSA相比有一些缺陷.但也有彌補(bǔ)的方法，因此NTRU算法將會(huì)有更廣闊的應(yīng)用前景。關(guān)健詞: NTRU;公開(kāi)密鑰體制; RSAAnalysis of NTRU AlgorithmCHEN Keyao, XIE Kanglin[Abstract ] This paper introduces a new public key cryplosystem which is called NTRU algorihm. The security of the NTRU is based on the hardmathematical problem of finding very short vectors in laties of very high dimension . NTRU has very high speed of computation and very fast speed ofkey creation and very less space of storage than RSA and so on. Although NTRU has some defects in its security compared with RSA, the remedialactions have been found and applied into NTRU.[Key words I NTRU ; Public key cryptosystem; RSANTRU(Number Theory Research Unit)公開(kāi)密鑰體制是由同，但要將乘積后的X“變成1,X"“變成X, X**變成X, ...美國(guó)數(shù)學(xué)家(effrey HofsteinjJllPipher,Joseph H.Silverman)1.3 NTRU密鑰的產(chǎn)生發(fā)明的，其安全性是基于數(shù)論中在一一個(gè)非常大的維數(shù)格中尋根據(jù)NTRU參數(shù)N，首先隨機(jī)選擇兩個(gè)多項(xiàng)式f、g為使f找一個(gè)很短向量的數(shù)學(xué)難題。在實(shí)際應(yīng)用中，由于在相同安對(duì)模p、模q的乘逆存在，f首先應(yīng)滿足gcd(f.pg)=|條件,分全級(jí)的前提下，NTRU比RSA算法運(yùn)行的速度要快許多倍，別用fp、fq代表f對(duì)模p、模q的乘逆.即其密鑰生成也更快，且需要的存儲(chǔ)空間更少,這意味著降低f.fq≠lmodqandf.fp=1modp()了對(duì)處理器、存儲(chǔ)器的性能要求，擴(kuò)大了應(yīng)用范圍。盡管計(jì)算:h=p . fq. g (mod q)(2NTRU在解密系統(tǒng)方面有缺陷，攻擊者可能利用這一一點(diǎn)發(fā)起.NTRU算法取私人密鑰為一對(duì)多項(xiàng)式環(huán)(fp),公開(kāi)密鑰攻擊，但是這個(gè)缺陷是可以補(bǔ)救的?？傊琋TRU算法的發(fā)為多項(xiàng)式環(huán)h。明是計(jì)算機(jī)密碼學(xué)的一一個(gè)重大成果，很有可能取代RSA等算1.4 NTRU算法的加密過(guò)程法成為公開(kāi)密鑰體制中最優(yōu)秀的算法。設(shè)有明文多項(xiàng)式m,根據(jù)參數(shù)d隨機(jī)選擇多項(xiàng)式,使用公1 NTRU算法的描述開(kāi)密鑰h,按公式(3)對(duì)明文m加密，得到密文e.1.1 NTRU算法的數(shù)論基礎(chǔ)"e=(r. h+ m) mod q設(shè)有整數(shù)環(huán)Z、整數(shù)N≥>2， 用R表示多項(xiàng)式截?cái)喹h(huán)1.5 NTRU算法的解密過(guò)程(runcated polynomial rings)時(shí)，R可寫(xiě)成:用一對(duì)私人密鑰(,fp) 解密密文e,計(jì)算:R= -Z[X]/ (X"-1)a=f. e( mod q)(4b=a (mod p)(5)對(duì)于任意正整數(shù)q,令R代表模q的多項(xiàng)式截?cái)喹h(huán)時(shí)，R可c=fp●b(mod p)(6以寫(xiě)成:多項(xiàng)式c就是解密后的明文m。R = (ZZ)[X](X"-I)可證明當(dāng)q是素?cái)?shù)時(shí)，R具有可逆性。即對(duì)f, 有f* 滿足:1.6 NTRU算法解密成功的推導(dǎo)”解密的執(zhí)行過(guò)程可推導(dǎo)如下:f.f*=l modq1.2 NTRU算法參數(shù)=f.(r●h+m) ( mod q)NTRU算法需要3個(gè)整數(shù)參數(shù)(N,p.q) 和f、g T、m具(因?yàn)閑=(r.h+m)modq)有的N-1階多項(xiàng)式環(huán)。=f.(r. pfq . g+m) ( modq)設(shè)f、g r m是N-I階多項(xiàng)式環(huán)，即(因?yàn)閔=p. fq . g(mod q))deg()-deg(g) = deg(r)=deg(m)=N-1,fgr.m∈Rf(f++8+.+.x*..中國(guó)煤化工g-g+gxX+*+..uX.MHCNMHGm-m+m,X+m.X+..+muxX*作者簡(jiǎn)介:陳克耀(195-)，男，碩士生，研究方向:計(jì)算機(jī)應(yīng)多項(xiàng)式環(huán)之間的加、減運(yùn)算與普通多項(xiàng)式的加、減運(yùn)算用;謝康林，教授完全相同。多項(xiàng)式環(huán)之間相乘時(shí)與普通多項(xiàng)式相乘基本相收稿日期: 2004-08-15E-mail: wuxickyao@yahoo.com.cn08-選取的多項(xiàng)式, g, f和m的系數(shù)都很小，即r. g和f.mz=q/2,那么恢復(fù)的將是實(shí)際值的-1倍。所以還需要對(duì)f和-f都比q小又因?yàn)閜小于q,所以(pr. g+f. m)多項(xiàng)式的系數(shù)在做-個(gè)校驗(yàn)選擇。在以上尋找f的過(guò)程中有兩點(diǎn)假設(shè)需要指出: (1)必須有z性,是]之間，模q運(yùn)算不起作用。則的一個(gè)系數(shù)在范圍之內(nèi); (2)z的其余的系數(shù)在[-q/2+2,q/2-1]b=a (mod p)的范圍以內(nèi)。如果這兩個(gè)條件中有任何-一個(gè)不滿足，當(dāng)Mi==(pr. g+f. m)( mod p)0的時(shí)候，將會(huì)引起ε "(M'";)和E "(M";)的不可解密，這種(因?yàn)閜r . g(mod p)=0)不可解密的結(jié)果是由于z超出范圍引起的，這會(huì)引起5.=0的=f. m( mod p)錯(cuò)誤。事實(shí)上,上面兩點(diǎn)假設(shè)不成立的機(jī)會(huì)是非常小的。即c=fp.b(modp)=fp.f.m(modp)使真的出現(xiàn)了這種情況，攻擊者只要對(duì)M和r稍做修改然后(因?yàn)閒. fp=l mod p)再?gòu)牟襟E(2)開(kāi)始或者直接回到步驟(1)從頭開(kāi)始。1.8 NTRU解密系統(tǒng)的缺陷的補(bǔ)教措施"= m(mod p)為了防止攻擊者利用這- 點(diǎn)來(lái)進(jìn)行攻擊，NTRU在提高因?yàn)閙的系數(shù)在[-是, 只]之間,所以c=m解密成功。系統(tǒng)安全性方面也做了相應(yīng)的改進(jìn):引入了REACT改進(jìn)算1.7 NTRU解密系統(tǒng)的缺陪"法(Rapid Enhanced-securityAsymmetric Cryptosystem但是NTRU公鑰加密系統(tǒng)并沒(méi)有提供完善的解密機(jī)制。Transform，高速增強(qiáng)型非對(duì)稱加密系統(tǒng)改進(jìn)算法)。這個(gè)算也就是說(shuō)存在著用公鑰加密產(chǎn)生合法密文不能被私鑰解密的法引入了兩個(gè)哈氏函數(shù)G和H,這兩個(gè)哈氏函數(shù)分別各自產(chǎn)現(xiàn)象。攻擊者可能利用這一點(diǎn)來(lái)進(jìn)行攻擊。攻擊者會(huì)利用生k1比特和k2比特的字符串，從而使傳統(tǒng)的NTRU的PKE nDC判斷程序來(lái)判斷合法的密文是否被正確解密,通過(guò)系統(tǒng)=(k,ε ,D)轉(zhuǎn)化為PKE IT*=(k",ε ",D")。提供的相關(guān)信息來(lái)恢復(fù)用戶的私鑰。其中k"=k, ε "<(m;S,R):利用隨機(jī)產(chǎn)生的S和R計(jì)算出ClNTRU加密系統(tǒng)沒(méi)能提供完普的解密機(jī)制。對(duì)一對(duì)密鑰e a(S,R), m是k1比特參與產(chǎn)生密文的信息，C2=G(S)田 m,環(huán)(pk,sk)而言，存在著用pk產(chǎn)生的密文m,卻不能用sk正確C3=H(S,m,CI,C2)，最后由(CI,C2,C3)產(chǎn)生密文。解密。因?yàn)檎_的解密依賴于私鑰，所以當(dāng)正確的密文不能D.(CI,C2,C3):S'= D.(CI), m'=G(S)田 C2, C3=H(m'$S,被正確的解密時(shí)，在解密的過(guò)程中就有可能泄露關(guān)于私鑰的C1,C2)，如果產(chǎn)生的S是合法的且C3=C3',那么就輸出m',即信息。m'就是所需的結(jié)果。下面來(lái)分析一下針對(duì)NTRU的這個(gè)弱點(diǎn)，攻擊者是如何現(xiàn)在讓我們來(lái)看- - 下如果攻擊者采用以前的方法來(lái)進(jìn)行進(jìn)行攻擊的。這種攻擊-般是郵3個(gè)步驟組成的。攻擊會(huì)怎樣:步驟1:這一步驟的目標(biāo)就是要找到函數(shù)(m,) [.x[,(1)選擇參與II的運(yùn)算的k位比特的信息m, m-.m和k從而可以產(chǎn)生-一個(gè)不可解密的密文。最簡(jiǎn)單的辦法就是不斷位比特的S,",S.ε M,以及參與I運(yùn)算的..-,R.地選擇m和r，并利用DC判斷程序來(lái)校驗(yàn)其是否不可解密。(2)對(duì)1<=i<=k,計(jì)算ε "(m;SRlle)=(Cli,C2i,C3i)，其如果其不可解密的話,那就意味著步驟|的任務(wù)已經(jīng)完成中e是k比特的{0,1}向量,這個(gè)向量除了第i個(gè)值之外,其余的了。可以看出，如果利用窮舉法不斷地尋找和嘗試并不是一值是0。個(gè)很好的方法，工作量將是非常大的。可以看到，對(duì)于m和(3)對(duì)1<=i<=-k,送(Cli,C2i,C3i)到I的DC判斷程序進(jìn)行r反復(fù)用DC判斷程序來(lái)校驗(yàn)e=ε "(m;)是否不可解密等同于密文的合法性校驗(yàn)。但是由于H和G在產(chǎn)生密文的過(guò)程中參判斷m和r是否在的范圍之內(nèi)。比隨機(jī)尋找m和r更為方便與運(yùn)算, C2=G(S)田m,C3=H(S,m,Cl,C2),攻擊者是無(wú)法獲得和準(zhǔn)確的方法是利用系統(tǒng)過(guò)近法來(lái)找到的最大交集。不可解密密文的詳細(xì)信息的，也就無(wú)法恢復(fù)密鑰了。步驟2:假設(shè)在步驟I中已經(jīng)找到函數(shù)(m,)E[.x{[,如從以上的分析中可以看出, NTRU在引入REACT算法果要保證e=ε "(m; r)是不可解密的，那么mf+tpg的系數(shù)中后，對(duì)DC判斷程序而言能夠拿到的只是密文y和解密后的至少有一個(gè)在(-q/2, q/2]之外?，F(xiàn)在攻擊者在這-一步驟要做m,無(wú)論Da(y)是否等于m。而不再像以前那樣在校驗(yàn)到不可的就是如何使e“"(0; r)不可解密，或者是找M2[m,從而使解密的密文是可以獲得密鑰的一些相關(guān)信息。所以引入ε N,(M; r)是不可解密的。注意此時(shí)Mf+rpg的所有系數(shù)都在REACT后的NTRU在安全性方面是進(jìn)一一步得到了提高。[-/2,/2+1]的范圍之內(nèi)，只要將M的任何非0比特轉(zhuǎn)化為0，2 NTRU算法的實(shí)現(xiàn)優(yōu)勢(shì)那么ε“(M;r也就變成可以解密的了。(1)速度E因?yàn)镸和的所有系數(shù)都在{-1, 0, |}以內(nèi)，當(dāng)M的一個(gè)RSA的基本運(yùn)算是.上千位的求冪操作，而NTRU算法運(yùn)系數(shù)變?yōu)?時(shí)，則Z的系數(shù)會(huì)變?yōu)?1,0,或者1。當(dāng)在重復(fù)過(guò)程算是小于255的操作。因?yàn)楫?dāng)密鑰長(zhǎng)度為I 000~2 00bits時(shí)中出現(xiàn)M不等于0且ε "(M;r)可以解密,則可以終止上述過(guò)RSA儒要運(yùn)算完整的長(zhǎng)密鑰，而NTRU則可以把密鑰拆成小程,即步驟2的工作結(jié)束。步騍3:現(xiàn)在假設(shè)在步驟2中已經(jīng)找到了(M,r),從而使塊，通常7~8bits -塊。所以NTRU的運(yùn)算速度要快得多。(2)系統(tǒng)需求ε "(M;)]不可解密。此時(shí)z=Mftrpg的 系數(shù)在[9/2,q/2+1]的范資源上的需求要小，圍之內(nèi)，其中只要M的任何非0位設(shè)為0，則e“(M;)將是可并且更中國(guó)煤化工以解密的。反過(guò)來(lái)也就是說(shuō)如果ε "(M;r)是不可解密的，則fYHCNMHGz至少有一個(gè)系數(shù)在{-q/2,9/2+1}的范圍之內(nèi)。NTRU的隨機(jī)選擇多項(xiàng)式r或長(zhǎng)密鑰拆成小塊都增加了現(xiàn)在可以假設(shè)，如果只有一個(gè)系數(shù)j在{-9/2,q/2+1}之加密處理的安全性和密鑰生成速度。間，其余的系數(shù)都在[-q/2+2,q/2-1]之間。(下轉(zhuǎn)第322頁(yè))當(dāng)然對(duì)于上述步驟是在z = q/2+1的前提下作出的，如果4.2 MPLS網(wǎng)絡(luò)密碼設(shè)備設(shè)計(jì)原理纖的發(fā)送信號(hào)轉(zhuǎn)換成電信號(hào),再由協(xié)議處理器進(jìn)行拆分并還密碼設(shè)備要加密的對(duì)象是用戶數(shù)據(jù)，而不能對(duì)信令和網(wǎng)原出幀中繼幀，然后根據(jù)幀頭DLCI進(jìn)行識(shí)別，如是信令幀絡(luò)管理維護(hù)幀或信元加密,否則邏輯連接將無(wú)法建立，網(wǎng)絡(luò)則不作加密處理，如是用戶信息幀則應(yīng)進(jìn)行加密處理。在進(jìn)設(shè)備無(wú)法得到管理和維護(hù)。下面針對(duì)MPLS/ATM、.MPLS/行加密處理時(shí)，需提取幀頭中的MPLS的標(biāo)簽來(lái)選擇用戶密FR、. MPLS/PPP3種網(wǎng)絡(luò)進(jìn)行加解密分析。鑰，并將密鑰和用戶信息送入加密模塊進(jìn)行加密處理。加了(1)對(duì)于ATM(異步轉(zhuǎn)移模式)，MPLS直接采用VPI/VCI密的信息安裝上原幀中繼頭，再交由協(xié)議處理器進(jìn)行封裝并作為轉(zhuǎn)發(fā)的標(biāo)簽，信元中的5字節(jié)信元頭用于交換路由、流由物理層轉(zhuǎn)換成光信號(hào)向網(wǎng)絡(luò)發(fā)送;在解密過(guò)程中，首先由量控制等網(wǎng)絡(luò)控制管理，用戶數(shù)據(jù)信元中的加密對(duì)象應(yīng)該是物理層將來(lái)自網(wǎng)絡(luò)的信號(hào)轉(zhuǎn)換成電信號(hào)，再由協(xié)議處理器進(jìn)信元中48字節(jié)數(shù)據(jù)凈荷部分。在ATM網(wǎng)絡(luò)中規(guī)定了凈荷類行拆分并還原出幀中繼幀，然后根據(jù)據(jù)幀頭DLCI進(jìn)行識(shí)型標(biāo)識(shí)域PTI1從000-01 I是用戶數(shù)據(jù)信元，100- 11用于信別，如是信令幀則不作解密處理，如是用戶信息幀則應(yīng)進(jìn)行令和管理信元; VCI從0-31用于信令信元，31以上用于用解密處理。戶數(shù)據(jù)信元。引入MPLS后，LDP信令通道是VPI=0, VCl=(3)對(duì)于PPP是一個(gè)簡(jiǎn)單的OSI第2層網(wǎng)絡(luò)協(xié)議。其標(biāo)頭32。密碼設(shè)備可根據(jù)此規(guī)則判斷是用戶數(shù)據(jù)信元還是信令和只有兩個(gè)字節(jié)，沒(méi)有地址信息，只是按點(diǎn)到點(diǎn)順序，面向無(wú)管理信元。主控制器根據(jù)MPLS的標(biāo)簽選取相應(yīng)的用戶密鑰連接。對(duì)于該種方式加密處理很簡(jiǎn)單，對(duì)MPLS包頭以后的的，調(diào)用加解密算法，對(duì)信元的數(shù)據(jù)凈荷進(jìn)行加解密。密碼信息全部加密。設(shè)備對(duì)用戶數(shù)據(jù)信元信息進(jìn)行處理時(shí)，不改變?cè)旁慕Y(jié)5結(jié)束語(yǔ)構(gòu)。在加密過(guò)程中，首先由物理層將來(lái)自端設(shè)備光纖的發(fā)送本文在對(duì)MPLS交換的協(xié)議及其網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了分析討信號(hào)轉(zhuǎn)換成電信號(hào)，再由協(xié)議處理器進(jìn)行拆分并還原出論后，提出了MPLS網(wǎng)絡(luò)的加密方法，并設(shè)計(jì)了相應(yīng)的網(wǎng)絡(luò)ATM信元，然后根據(jù)信元頭進(jìn)行信元識(shí)別，如是信令信元密碼設(shè)備，針對(duì)ATM、FR、PPP 3種鏈路層提出具體解決辦則不作加密處理，如是用戶信元?jiǎng)t應(yīng)進(jìn)行加密處理。在進(jìn)行法。密碼設(shè)備采用硬件加解密，處理速度快，傳輸延時(shí)小。加密處理時(shí)，需提取信元頭中的MPLS的標(biāo)簽以選擇用戶密同時(shí)密碼設(shè)備的接入不影響原網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu);不修改網(wǎng)絡(luò)節(jié)鑰，并將密鑰和用戶信元的凈荷信息送入加密模塊進(jìn)行加密點(diǎn)的配置;不占用網(wǎng)絡(luò)的地址資源;對(duì)上層完全透明，提高處理。加了密的信息安裝上原ATM層信元頭，再交由協(xié)議了MPLS網(wǎng)絡(luò)安全性。處理器進(jìn)行封裝并由物理層轉(zhuǎn)換成光信號(hào)向網(wǎng)絡(luò)發(fā)送;在解伴隨著信息共享所帶來(lái)的便利，信息的安全性也呈現(xiàn)出密過(guò)程中，首先由物理層將來(lái)自網(wǎng)絡(luò)的信號(hào)轉(zhuǎn)換成電信號(hào)，日益重要的地位，MPLS網(wǎng)絡(luò)加密技術(shù)的研究對(duì)通信網(wǎng)的信再由協(xié)議處理器進(jìn)行拆分并還原出ATM信元，然后根據(jù)信息保密和網(wǎng)絡(luò)安全有著重要的實(shí)用價(jià)值，而且對(duì)密碼工程技元頭進(jìn)行信元識(shí)別，如是信令信元?jiǎng)t不作解密處理，如是用術(shù)具有重要的學(xué)術(shù)意義。戶信元?jiǎng)t應(yīng)進(jìn)行解密處理。文獻(xiàn)(2)對(duì)于FR(幀中繼)，MPLS則直接采用DLCI作為轉(zhuǎn)發(fā). I肖萍萍，吳健學(xué),周芳等編著. SDH原理與技術(shù)北京:郵電大學(xué)的標(biāo)簽，信令幀是標(biāo)準(zhǔn)的幀中繼幀，它們用保留的DLCI以2沈鑫剡. IP交換網(wǎng)原理、技術(shù)及實(shí)現(xiàn).北京:人民郵電出版社, 2002出版社.2002區(qū)別用戶數(shù)據(jù)。LMI信令協(xié)議用DLCI =1023, ITU-T和ANSI3 Sallings W. Data and Computer Communication(3rd Edition) .北京:清信令協(xié)議用DLCI= 0，MPLS默認(rèn)的信令通道是DLCI=IS。華大學(xué)出版社, 1997包括以上的3個(gè)DLCI值，DLCI 0-15、1008- 1023均被系統(tǒng)保肖丹. ATM互聯(lián)網(wǎng)絡(luò)技術(shù)及應(yīng)用.北京:人民郵電出版社. 1998留，以備以后網(wǎng)絡(luò)擴(kuò)展服務(wù)使用。用戶信息幀的DLCI范圍5高飛高平編. 計(jì)算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全基礎(chǔ).北京:理工大學(xué)出是16-1007。在加密過(guò)程中，首先由物理層將來(lái)自端設(shè)備光版社，2002(_上接第309頁(yè))NTRU算法克服了RSA運(yùn)算速度慢(尤其是密鑰生成和3 NTRU Cryptosystems Technical Report #01S[R]. Articles at www.ntru.comi解密過(guò)程)和需要大數(shù)求幕運(yùn)算，對(duì)系統(tǒng)要求高的缺點(diǎn),使4 Goldreich O, Goldwasser s, Halvei s. Public key Cryptography from其在移動(dòng)通信安全認(rèn)證領(lǐng)域得到廣泛應(yīng)用。Lattice Reduction Problems[C]. In:proc CRYPTO97,Lect. Notes in3結(jié)束語(yǔ)Computer Science 1294.pringer-verlag, 1997本文簡(jiǎn)單介紹NTRU公開(kāi)密鑰體制，雖然NTRU在解密5 Cohen H. A Course in Compulational Algcbraic Number Theory,Graduate Texts in Math{M]. Springer Verlag Berlin,1993:138體系方面有一些缺陷，但是已經(jīng)找到了補(bǔ)救方法，而且加密6 NTRU Cryptosytems Technical Repont #014. www.ntru.com系統(tǒng)和攻擊永遠(yuǎn)是同時(shí)發(fā)展的，沒(méi)有真正意義上永遠(yuǎn)安全的7 NTRU Cryptosystems Technical Report #009. www .ntru.com加密算法，不管怎么樣，NTRU算法被認(rèn)為是公開(kāi)密鑰體制8 Goldreich O, Goldwasser S.Halvei S.Public-key Cryprography from中最快的算法，也是比較容易實(shí)現(xiàn)的算法。因此，NTRU算Lattice Reduction Problems.roc. CRYPTO97,Lect.Notcs in Computer法很有可能取代RSA等算法而得到廣泛的應(yīng)用，尤其是在移9盧開(kāi)濕計(jì)算機(jī)密碼學(xué)(第)版)業(yè) 商:清華大學(xué)出版社, 1998Sciencel294,Springer-Verlag, 1997動(dòng)通信安全認(rèn)證領(lǐng)域。銬文獻(xiàn)10T1中國(guó)煤化工-A Tutorial. www .tru.com110Rapid Enancd-security| Hofstcin J, Pilpher J, Silverman J H. A Ring based Public KeyTYHCN M H Gn Poc. r35R100),Cryptosystem. Articles at www.ntru.comof LNCS, Spring-verlag 2001,202:19-1752 NTRU Cryptosystem Technical Report #013[R]. Articles at www.ntru.com-322-