Ring-LWE在其他領域

有人能告訴我為什麼在 R-LWE 中我們總是使用 Cyclotomic 場，特別是那些度數等於冪的場 $ 2 $ ?

我們可以在不損失問題難度的情況下使用其他領域嗎？

例如二次場呢？

謝謝！

ePrint 2012/235中解釋了 2 的冪：

結果來自

$$ LPR10 $$不要根據晶格問題的最壞情況硬度直接暗示上述問題是困難的，除非在一種情況下 $ f(X) = X^n+1 $ 為了 $ n $ 一種力量 $ 2 $ ，因此大多數使用 Ring-LWE 問題的論文只使用這個特定的環。這種限制的原因是問題陳述在$$ LPR10 $$需要 $ w $ 處於雙環 $ R $ （這是一個分數理想）並且雜訊的分佈是在嵌入表示中的球形高斯分佈 $ R $ . 只有在這種情況下 $ R = \mathbb{Z}[X]/(X^n + 1) $ 雙環只是簡單的縮放 $ R $ （因此，可以簡單地乘以縮放比例並最終得到 $ R $ ) 並且嵌入只是剛性旋轉和縮放（因此球形高斯分佈不受變換的影響）。對於所有其他分圓多項式，雖然可以轉換在$$ LPR10 $$與上面描述的一樣，多項式和嵌入表示之間的轉換涉及乘以一個傾斜矩陣，並且對偶 $ R $ 是（可能非常）偏斜的分數理想 $ R $ . 因此，沒有明顯的方法可以直接在環中產生雜訊 $ R $ , 也不完全在環中工作 $ R $ 不使用可以顯著增加誤差多項式幅度的變換。

不使用多二次（因此是二次）場，因為存在準多項式攻擊，此處描述的時間太長。有關詳細資訊，請參閱這份 55 頁的論文。

引用自：https://crypto.stackexchange.com/questions/83504