Schema în LWE este valabilă și în R-LWE?

O modalitate de interpretare a matricelor în RLWE este că acestea sunt un subset de matrici întregi standard care au structura speciala. De exemplu, în loc să folosiți o matrice aleatorie $A\in\mathbb{Z}_q^{n\ori n}$ (așa cum am putea face în construcțiile bazate pe LWE), putem înlocui aceasta o matrice cu o matrice în care prima coloană (sau rând) este aleatorie, iar restul au o structură de rotație ciclică:

$$\begin{pmatrix} a_1 & a_n & \dots & a_2\ a_2 & a_1 & \dots & a_3\ \vdots & &\ddots & \ a_n & a_{n-1} & \dots & a_1 \end{pmatrix} = [\vec a, \mathsf{rot}(\vec a),\mathsf{rot}^2(\vec a),\dots, \mathsf{rot}^{n-1}( \vec a)]$$

Desigur, există și alte „structuri speciale” (să zicem negaciclic rotații).

Cât de departe se întinde această analogie? În special, pentru orice schemă bazată pe LWE, există o schemă R-LWE corespunzătoare, în care se prelevează matricele aleatoare din acest subset special (mai degrabă decât uniform aleatoriu)?

De exemplu, în criptarea standard în stil Regev (care a fost concepută pentru LWE), putem alege matricea în modul de mai sus pentru a construi o versiune R-LWE a criptării Regev?