直白理解 NTRU 公钥加密系统

0. 摘要（Abstract）

本文将探讨 NTRU 公钥加密系统（NTRU Public Key Cryptosystem）。
NTRU 由 Joseph Silverman、Jeffery Hoffstein 和 Jill Pipher 于 1996 年提出。
该系统利用截断多项式环（truncated polynomial rings）来实现数据的加密与解密。

在 2013 年，NTRU 被正式开放至公共领域（public domain），供公众自由使用。
本文将描述NTRU加密系统的工作原理，并介绍如何使用该系统进行基本的加密与解密操作。

0.1 引言（Introduction）

密码学（Cryptography）的历史最早可追溯到尤利乌斯·凯撒（Julius Caesar）和古罗马时期。
自那时起，密码学在政府及民间的安全通信中都发挥了重要作用。

一个密码系统（cryptosystem）包含两个核心过程：

• 加密（encryption）：将明文信息转换为难以辨认的文本或数字形式；
• 解密（decryption）：将加密信息还原为原始内容。

私钥加密系统和公钥加密系统都已公开可用，但公钥加密系统相较于私钥加密系统具有某些优势。

NTRU 加密系统 属于一种 公钥密码系统，由 Joseph Silverman、Jeffery Hoffstein 和 Jill Pipher 在 1996 年设计完成。

• 最初，NTRU 仅以商业授权形式发布；
• 直到 2013 年，它才被完全开放到公共领域，允许自由使用。

NTRU 的安全性基于某些计算数学问题的公认难度，以及解决这些问题所需的极其长的时间。这些计算问题由NTRU加密系统实现中选定的特定数值参数所定义。

本文旨在通过研究 NTRU 加密系统，帮助读者理解其原理并掌握如何使用它安全地加密消息和数据。
文末还将进一步讨论NTRU加密系统的安全性分析。

为此：

• 必须了解截断多项式环，
• 将消息转换为二进制，
• 以及将这些二进制位串转换为多项式。

1. 预备知识（Preliminary Background）

1.1 密码系统（Cryptosystems）

密码学（Cryptography） 是研究在存在第三方的情况下，如何安全地共享信息的一门科学。

在密码学中，存在多种具体的加密系统（cryptosystem），每个系统都包含独立的加密、解密与密钥生成过程。

• 加密（Encryption）：将明文信息转换为无意义的字母或数字组合；
• 解密（Decryption）：执行加密的逆过程，将密文还原为原文。

每个加密系统中：

• 都需要定义一些数值参数来决定加密细节。这些参数称为 加密密钥（encryption keys）。
• 同样地，解密过程中使用的数值参数称为 解密密钥（decryption keys）。

为了说明这一概念，在此以凯撒密码（Caesar Cipher）为例。

假设明文为：

“HELLO WORLD”

若将每个字母在字母表中向后平移两位，则可得到密文：

“JGNNQ YQTNF”

此时的加密密钥为：
$$\text{key}=+2$$

要将密文“JGNNQ YQTNF”解回明文“HELLO WORLD”，则需将每个字母向前平移两位：
$$\text{key}=-2$$

在凯撒密码中，任何 1 至 25 之间的整数都可作为密钥使用。

上面的凯撒密码是私钥加密系统（Private Key Cryptosystem）的一个例子。

在这种系统中：

• 加密和解密使用的是同一个密钥；
• 一旦知道加密密钥，就能轻易求出解密密钥；
• 因此，密钥必须在通信双方之间保密。
  • 这也是“私钥（Private Key）加密系统”这一名称的由来。

与私钥加密系统相对，存在一种称为公钥加密系统（public key cryptosystem）的概念。
在公钥加密系统中，会生成一对密钥：

• 加密密钥（encryption key）
  —— 该密钥是公开的（public key），任何人都可以使用它来加密消息；
• 解密密钥（decryption key）
  —— 该密钥必须由密钥持有者严格保密（private key），用于解密。

需要注意的是：公钥与私钥并不相同。
正如前文提到的，NTRU 就是公钥加密系统的一个例子。

1.2 模运算（Modular Arithmetic）

设 $m$ 为一个正整数，$a$ 为任意整数。
表达式：
$$a(\mathrm{mod}m)$$

表示唯一的非负整数 $r$，满足：
$$0\le r<m,a-r\text{ 是 }m\text{ 的整数倍。}$$

也就是说，当写作：
$$a\equiv b(\mathrm{mod}m)$$
意味着 $a$ 与 $b$ 在除以 $m$ 时得到相同的余数，因此它们的差值 $a$ − $b$ 是 $m$ 的倍数。
其中 $m$ 称为模数（modulus）。

模运算同样支持加法、减法与乘法。对于任意整数 a, b，有：
$$\begin{array}{rl}a(\mathrm{mod}m)+b(\mathrm{mod}m)& \equiv a+b(\mathrm{mod}m)\\ a(\mathrm{mod}m)-b(\mathrm{mod}m)& \equiv a-b(\mathrm{mod}m)\\ a(\mathrm{mod}m)\times b(\mathrm{mod}m)& \equiv ab(\mathrm{mod}m)\end{array}$$

当两个整数 $a$ 与 $m$ 的唯一正公因数为 $1$ 时，称二者是相对互质的（relatively prime）。
若 $a$ 与 $m$ 相对互质，则存在一个整数 $b$（称为 $a$ 在模 $m$ 下的逆元（modular inverse）），满足：
$$ab\equiv 1(\mathrm{mod}m)$$

在 NTRU 加密系统 中，模运算是作用在多项式（polynomials）上的。因此，上述性质同样可以推广至多项式的运算。

设多项式 $\mathbf{a}$ 和 $\mathbf{b}$ 的形式如下：
$$\begin{array}{rl}\mathbf{a}& =a_0+a_{1}X+a_2{X}^2+\cdots +a_{N-1}{X}^{N-1}+a_N{X}^N\\ \mathbf{b}& =b_0+b_{1}X+b_2{X}^2+\cdots +b_{N-1}{X}^{N-1}+b_N{X}^N\end{array}$$
其中所有系数均为整数。
记 $\mathbf{ab}$ 为多项式 $\mathbf{a}$ 与 $\mathbf{b}$ 的乘积。

表达式：
$$\mathbf{ab}(\mathrm{mod}m)$$

表示对乘积 $\mathbf{ab}$ 的每个系数 $c$ 取 $c(\mathrm{mod}m)$ 所得到的多项式。

如设：
$$\begin{gathered} \mathbf{a}=2+5X^3, \\ \mathbf{b}=X+X^2+6X^3, \\ m=2 \end{gathered}$$

首先进行普通多项式乘法：
$$\mathbf{ab}=2X+2X^2+12X^3+5X^4+5X^5+30X^6$$

然后对每个系数取模 $2$（即保留余数）：
$$\mathbf{ab}(\mathrm{mod}2)=X^4+X^5$$

1.3 截断多项式环（Truncated Polynomial Rings）

设 k 为任意正整数。定义：
$${\mathbb{Z}}_k=0,1,2,\dots ,k-1$$
表示模 $k$ 的整数环（ring of integers modulo $k$）。

固定一个正整数 $N$。
令 $\mathbf{T}$ 表示所有系数属于 ${\mathbb{Z}}_k$ 且阶数不超过 $N-1$ 的多项式集合。

若 $\mathbf{a},\mathbf{b}\in \mathbf{T}$，则它们的形式为：
$$\begin{array}{rl}\mathbf{a}& =a_0+a_{1}X+a_2{X}^2+\cdots +a_{N-2}{X}^{N-2}+a_{N-1}{X}^{N-1}\\ \mathbf{b}& =b_0+b_{1}X+b_2{X}^2+\cdots +b_{N-2}{X}^{N-2}+b_{N-1}{X}^{N-1}\end{array}$$

其中：
$$a_0,a_1,\dots ,a_{N-1},b_0,b_1,\dots ,b_{N-1}\in {\mathbb{Z}}_k$$

集合 $\mathbf{T}$ 中的加法运算按通常方式进行，即对相同阶数项的系数逐一相加：
$$\mathbf{a}+\mathbf{b}=(a_0+b_0)+(a_1+b_1)X+\cdots +(a_{N-1}+b_{N-1})X^{N-1}$$

显然，$\mathbf{a}+\mathbf{b}$ 仍属于 $\mathbf{T}$。

对于集合 $\mathbf{T}$ 中的一对多项式 $\mathbf{a}$ 和 $\mathbf{b}$ ，如果直接使用普通的多项式乘法，所得积 $\mathbf{ab}$ 的阶数可能会大于 $N-1$，从而不再属于 $\mathbf{T}$。

因此，希望重新定义乘法，使得乘积 $\mathbf{ab}$ 仍属于 $\mathbf{T}$。

显然，两个阶数为 $N$ 的多项式相乘，其结果的阶数将大于 $N-1$。
为了解决这一问题，对于每一个大于 $N-1$ 的整数 $m$，将 $X^m$ 替换为 $X^r$，其中：
$$r=m\mathrm{mod}N$$

即 $r$ 是 $m$ 除以 $N$ 的最小非负余数。

然后，系数依然按通常方式相加。由此得到的积 $\mathbf{ab}$ 一定属于 $\mathbf{T}$。

如，设：

$$\begin{gathered} N=5 \\ \mathbf{a}=2+X+X^3 \\ \mathbf{b}=8X+5X^2+2X^4 \end{gathered}$$

则：

$$\begin{array}{rl}\mathbf{ab}& =(2+X+X^3)(8X+5X^2+2X^4)\\ & =16X+10X^2+4X^4+8X^2+5X^3+2X^5+8X^4+5X^5+2X^7\\ & =16X+18X^2+5X^3+12X^4+7X^5+2X^7\notin T\end{array}$$

根据前述规则，将高阶项按模 $N=5$ 进行截断：
$$\begin{array}{rl}& =16X+18X^2+5X^3+12X^4+7X^5+2X^7\\ & =(7+0)X^0+16X+(18+2)X^2+5X^3+12X^4\\ & =7+16X+20X^2+5X^3+12X^4\in T\end{array}$$

将这种多项式称为截断多项式（truncated polynomial）。

显然，集合 $\mathbf{T}$ 在加法与乘法下封闭，并且这两种二元运算都满足结合律与分配律，
因此 $\mathbf{T}$ 构成一个环（ring）。

1.4 截断多项式的逆元（Inverses of Truncated Polynomials）

为了使NTRU加密系统能够正常工作，需要在指定模数下找到某个多项式的逆元。

设：

• $\mathbf{p}\in \mathbf{T}$ 为一个多项式；
• $q$ 为一个整数。

有时，可以找到另一个多项式 $\mathbf{P}\in \mathbf{T}$，使得：
$$\mathbf{pP}\equiv 1(\mathrm{mod}q)$$

需要注意的是，并非所有多项式 $\mathbf{p}$ 都存在逆元。
如：
$$\begin{gathered} \mathbf{p}=X+X^2, \\ \mathbf{P}=2+X, \\ q=2, \\ N=3 \end{gathered}$$

则有：
$$\begin{array}{rl}\mathbf{pP}& (\mathrm{mod}2)=(X+X^2)(2+X)\\ & =2X+X^2+X^2+X^3\\ & =2X+2X^2+X^3\\ & \equiv 1+2X+2X^2(\mathrm{mod}2)\\ & \equiv 1\end{array}$$

因此，在该例中，$\mathbf{P}$ 是 $\mathbf{p}$ 在模 $q=2$ 下的逆元。

1.5 字母到二进制的转换（Letter to Binary Conversion）

在计算机中，所有消息、文本、图像等都会被转换为由 0 和 1 组成的比特串，
通常使用 ASCII（American Standard Code for Information Interchange） 编码。

NTRU 加密系统也遵循相同的思想，因此，理解这种转换方式是必要的。
这种转换非常简单，而且是确定的，因此可以使用现成的 ASCII 对照表（见本文附录）。

2. NTRU 公钥加密系统（NTRU Public Key Cryptosystem）

2.1 参数（Parameters）

NTRU 加密系统有多个不同的版本，其中一些为了提高安全性而更为复杂。
本文讨论的是最基本的 NTRU 版本，仅使用三个主要参数。
（更复杂的版本可能包含更多参数。）

本系统使用了在 1.3 节 定义的集合 $\mathbf{T}$。

这三个参数是：

• $N$：多项式环中多项式的维度；
• $q$：一个选定的较大模数；
• $p$：一个选定的较小模数。

2.2 生成密钥（Generating a Key）

假设 Bob 想使用 NTRU 加密系统 向 Alice 发送一条消息。
在此之前，Alice 必须先创建她的加密密钥（encryption key）和解密密钥（decryption key）。

• 1）步骤 1：选择随机多项式
  Alice 从环 $\mathbf{T}$ 中随机选择两个多项式 $\mathbf{f}$ 和 $\mathbf{g}$。
  这两个多项式都需要是“较小的（small）”，即它们的系数相对于模 $q$ 下的随机多项式来说比较小。
  换句话说，它们的每个系数都不能超过 $q$。

• 2）步骤 2：计算 $\mathbf{f}$ 的逆元 【取 $(\mathbf{f},{\mathbf{f}}_p)$ 为私钥】
  接下来，Alice 分别在模 $q$ 和模 $p$ 下计算 $\mathbf{f}$ 的逆元。
  若 $\mathbf{f}$ 在这些模下可逆，则满足：
  $$\mathbf{f}{\mathbf{f}}_q\equiv 1(\mathrm{mod}q)\text{\hspace{1em}(1)}$$
  以及
  $$\mathbf{f}{\mathbf{f}}_p\equiv 1(\mathrm{mod}p)\text{\hspace{1em}(2)}$$
  其中：

  • ${\mathbf{f}}_q$：表示 $\mathbf{f}$ 在模 $q$ 下的逆元；
  • ${\mathbf{f}}_p$：表示 $\mathbf{f}$ 在模 $p$ 下的逆元。

  如果在任意一个模数下逆元不存在，Alice 必须重新随机选择另一个 $\mathbf{f}$，直到找到一个同时满足 (1) 与 (2) 的多项式为止。

• 3）步骤 3：生成公钥 $\mathbf{h}$
  当 Alice 找到一个可逆的 $\mathbf{f}$ 后，她计算如下多项式：
  $$\mathbf{h}=p{\mathbf{f}}_q\mathbf{g}(\mathrm{mod}q)$$

此时：

• 私钥（private key） 是多项式对：$(\mathbf{f},{\mathbf{f}}_p)$，必须保密；
• 公钥（public key） 是多项式 $\mathbf{h}$，可以公开发布给任何人。

2.3 加密（Encryption）

当 Alice 生成好她的密钥对后，她将公钥 $\mathbf{h}$ 公布给外界。
此时，Bob 就可以用这个公钥向 Alice 发送加密消息。

• 1）步骤 1：消息多项式化
  Bob 首先将他的消息转换为一个多项式 $\mathbf{m}$，其系数取模 $p$，使得 $\mathbf{m}$ 成为模 $q$ 下的“较小”多项式。

• 2）步骤 2：选择随机掩码
  Bob 还需选择一个随机的小多项式 $\mathbf{r}$，用于混淆消息内容。
  这可以增加安全性，使非目标接收者更难解密。

• 3）步骤 3：生成密文
  Bob 使用多项式 $\mathbf{m}$、$\mathbf{r}$ 以及 Alice 的公钥 $\mathbf{h}$，计算：
  $$\mathbf{e}=\mathbf{rh}+\mathbf{m}(\mathrm{mod}q)$$
  其中：

  • $\mathbf{e}$：即为加密后的消息（ciphertext）。

  随后，Bob 将多项式 $\mathbf{e}$ 发送给 Alice。

2.4 解密（Decryption）

当 Alice 收到 Bob 的密文后，她需要将其解密回原始消息。

• 1）步骤 1：计算多项式 $\mathbf{a}$
  Alice 使用她的多项式 $\mathbf{f}$ 计算：
  $$\mathbf{a}=\mathbf{fe}(\mathrm{mod}q)$$
• 2）步骤 2：计算多项式 $\mathbf{b}$
  然后对多项式 $\mathbf{a}$ 取模 $p$，得到：
  $$\mathbf{b}=\mathbf{a}(\mathrm{mod}p)$$
• 3）步骤 3：计算多项式 $\mathbf{c}$
  最后，Alice 使用她的 ${\mathbf{f}}_p$（即 $\mathbf{f}$ 在模 $p$ 下的逆元）计算：
  $$\mathbf{c}={\mathbf{f}}_p\mathbf{b}(\mathrm{mod}p)$$
  结果多项式 $\mathbf{c}$ 就是 Bob 最初发送的明文消息 $\mathbf{m}$。

正确性验证：
环 $\mathbf{T}$ 的结构，以及逆元的存在，使得 Alice 能够解出 Bob 的消息。
当 Alice 计算 $\mathbf{a}$ 时，实际上她是在计算：
$$\begin{array}{rl}\mathbf{a}& =\mathbf{fe}(\mathrm{mod}q)\\ & =\mathbf{f}(\mathbf{rh}+\mathbf{m})(\mathrm{mod}q)\\ & =\mathbf{f}(\mathbf{r}p{\mathbf{f}}_q\mathbf{g}+\mathbf{m})(\mathrm{mod}q)\\ & =\mathbf{f}{\mathbf{f}}_{q}p\mathbf{rg}+\mathbf{fm}(\mathrm{mod}q)\\ & =p\mathbf{rg}+\mathbf{fm}(\mathrm{mod}q)\end{array}$$

由于多项式的所有系数都远小于模数 $q$，且 $p\ll q$，因此在取模 $q$ 时不发生数值截断或折返，即系数保持不变。
于是有：
$$\mathbf{a}=p\mathbf{rg}+\mathbf{fm}$$

从而有：
$$\begin{array}{rl}\mathbf{b}& =\mathbf{a}(\mathrm{mod}p)\\ & =p\mathbf{rg}+\mathbf{fm}(\mathrm{mod}p)\\ & =\mathbf{fm}(\mathrm{mod}p)\end{array}$$

因为有：
$$\mathbf{c}={\mathbf{f}}_p\mathbf{b}(\mathrm{mod}p),$$

而 $\mathbf{b}=\mathbf{fm}(\mathrm{mod}p)$，从而有：
$$\begin{array}{rl}\mathbf{c}& ={\mathbf{f}}_p\mathbf{b}(\mathrm{mod}p)\\ & ={\mathbf{f}}_p\mathbf{fm}(\mathrm{mod}p)\\ & =\mathbf{m}(\mathrm{mod}p)\\ & =\mathbf{m}\end{array}$$

因此，Alice 成功恢复了原始消息 $\mathbf{m}$。

2.5 NTRU 的一个使用示例

为了演示 NTRU 加密系统的使用，首先需要选择整数 $N$、$p$ 和 $q$。
设：
$$N=11,q=32,p=3.$$

接下来，需要选择一个多项式 $\mathbf{f}$，使得它在模 $p$ 和模 $q$ 下均存在逆元，并且选择另一个多项式 $\mathbf{g}$。

设：
$$\mathbf{f}=-1+X+X^2-X^4+X^6+X^9-X^{10}$$
以及：
$$\mathbf{g}=-1+X+X^2+X^3-X^8-X^{10}.$$

对应的逆元为：
$${\mathbf{f}}_p=1+2X+2X^3+2X^4+X^5+2X^7+X^8+2X^9$$
以及：
$${\mathbf{f}}_q=5+9X+6X^2+16X^3+4X^4+15X^5+16X^6+22X^7+20X^8+18X^9+30X^{10}.$$

由于公钥的定义为：
$$\mathbf{h}=p{\mathbf{f}}_q\mathbf{g}(\mathrm{mod}q).$$

使用上述数值计算得：
$$\begin{array}{rl}\mathbf{h}& =p{\mathbf{f}}_q\mathbf{g}(\mathrm{mod}q)\\ & =18+6X+21X^2+16X^3+2X^4+21X^5+X^6+17X^7+30X^8+3X^9+25X^{10}\end{array}$$

现在得到了 $\mathbf{h}$——即为 公钥，可以向外界公开，以便他人向我们发送加密消息。

接下来，来尝试发送一条消息——假设要发送的消息是 “Hi”。

为了将这条消息转换为多项式形式，首先需要将每个字母转换为对应的 二进制（binary） 表示。这可以通过附录中的 ASCII 表完成。

因此：
$$H=1001000$$
$$i=1101001$$

要将它们转换为多项式，只需在相应的二进制位上加上 $X$ 的幂次即可：

$$H=X^3+X^6$$

$$i=1+X^3+X^5+X^6$$

令它们分别为多项式 ${\mathbf{m}}_1$ 和 ${\mathbf{m}}_2$。

在使用公钥 $\mathbf{h}$ 加密消息之前，必须选择一个随机多项式 $\mathbf{r}$。
设：
$$\mathbf{r}=1+X+X^2+X^7.$$

由于加密消息定义为：
$$\mathbf{e}=\mathbf{rh}+{\mathbf{m}}_1(\mathrm{mod}q).$$

因此，使用 ${\mathbf{m}}_1$ 计算得：
$$\begin{array}{rl}e& =\mathbf{rh}+{\mathbf{m}}_1(\mathrm{mod}q)\\ & =14+6X+14X^2+29X^3+5X^4+18X^5+18X^6+7X^7+10X^8+7X^9+22X^{10}\end{array}$$

要解密 ${\mathbf{m}}_1$，首先计算 $\mathbf{a}$。
根据解密中定义：
$$\mathbf{a}=\mathbf{fe}(\mathrm{mod}q).$$
代入 $\mathbf{f}$ 与 $\mathbf{e}$，得：

$$\begin{array}{rl}a& =\mathbf{fe}(\mathrm{mod}q)\\ & =6+5X+2X^2+8X^3+5X^4+3X^5+29X^6+3X^7+X^8+X^9+28X^{10}\end{array}$$

接着根据 $\mathbf{b}=\mathbf{a}(\mathrm{mod}p)$，有：

$$\begin{array}{rl}\mathbf{b}& =\mathbf{a}(\mathrm{mod}p)\\ & =2X+2X^2+2X^3+2X^4+2X^6+X^8+X^9+X^{10}\end{array}$$

根据公式 $\mathbf{c}={\mathbf{f}}_p\mathbf{b}(\mathrm{mod}p)$，计算：
$$\begin{array}{rl}\mathbf{c}& ={\mathbf{f}}_p\mathbf{b}(\mathrm{mod}p)\\ & =X^3+X^6\\ & ={\mathbf{m}}_1\end{array}$$

接下来，对消息 ${\mathbf{m}}_2$ 重复相同的过程。仍然使用之前相同的随机多项式 $\mathbf{r}$。

因此，加密过程为：
$$\begin{array}{rl}\mathbf{e}& =\mathbf{rh}+{\mathbf{m}}_2(\mathrm{mod}q)\\ & =17+6X+14X^2+29X^3+5X^4+11X^5+18X^6+25X^7+22X^8+7X^9+10X^{10}\end{array}$$

为了解密 ${\mathbf{m}}_2$，再次计算：
$$\begin{array}{rl}\mathbf{a}& =\mathbf{fe}(\mathrm{mod}q)\\ & =6+3X^2+18X^3+3X^4+5X^5+14X^6+25X^7+X^8+X^9+8X^{10}\end{array}$$

然后取模 $p$：
$$\begin{array}{rl}\mathbf{b}& =\mathbf{a}(\mathrm{mod}p)\\ & =2X^5+X^6+X^7+X^8+X^9+X^{10}\end{array}$$

最后，计算：
$$\begin{array}{rl}\mathbf{c}& ={\mathbf{f}}_p\mathbf{b}(\mathrm{mod}p)\\ & =1+X^3+X^5+X^6\\ & ={\mathbf{m}}_2\end{array}$$

现在得到了该消息的两个部分 ${\mathbf{m}}_1$ 和 ${\mathbf{m}}_2$，即完整的原始消息。

2.6 NTRU 的安全性

NTRU 的安全性基于某些计算数学问题的计算难度以及解决这些问题所需的极高时间成本。
这些计算问题由系统实现时选择的数值参数 $N,q,p$ 所定义。通过对这些参数施加特定条件，可以进一步提高系统的安全性。

在 NTRU 加密系统中，目前已知唯一可行的攻击方法是基于格（lattice-based）的攻击。
这种攻击方式通过建立一个方程组，试图求解某个多项式。该方程组对应一个大小为 $N\times N$ 的矩阵。

目前已知存在几种格攻击，其中最复杂的一种仅在 $N<100$ 时，能在大约 40 分钟 内破解 NTRU。

虽然格攻击在 $N<100$ 时确实有效，但可以通过设置特定条件来提高 NTRU 的安全性。
如，可以令 $N$ 取较大的值：

• 若 $N=200$，则系统具有中等安全性（moderate security）；
• 若 $N=500$，则系统具有高安全性（high security）。

这是因为，虽然计算机能够求解大型矩阵，但当破解时间需要数周甚至数年时，攻击就变得不可行。
如，当 $N=500$ 时，预计破解所需时间约为 8.4 年。

此外，如果参数 $p$ 和 $q$ 被选为较大且相对互素（relatively prime），则求解整个系统的难度将进一步增加。

3. 附录：ASCII 字母与二进制对照表

ASCII 字母与二进制的对应关系：

参考资料

[1] 2019年论文《Understanding the NTRU Public Key Cryptosystem》