De ce să folosiți convoluții negaciclice pentru înmulțirea polinomială în loc de convoluții regulate?

La înmulțirea polinoamelor din $\mathbb{Z}_q[X] / (X^n-1) $, NTT discret este utilizat deoarece: $$ f \cdot g = \mathsf{NTT}_n^{-1}\left( \mathsf{NTT}_n\left(f\right) * \mathsf{NTT}_n\left(g\right) \right ) $$ Cu toate acestea, în aproape toate schemele am văzut negaciclic se folosește convoluția – inelul este $\mathbb{Z}_q[X] / (X^n+1) $ și un truc este folosit pentru a calcula $\mathsf{NTT}_{2n}^{-1}\left( \mathsf{NTT}_{2n}\left(f\right) * \mathsf{NTT}_{2n}\left(g\right) ) \dreapta) $ folosind $\mathsf{NTT}_n$ deoarece trebuie să înmulțim polinoamele în $\mathbb{Z}_q[X] / (X^{2n}-1) $.
Întrebarea mea este - de ce să te deranjezi $\mathbb{Z}_q[X] / (X^n+1) $ și nu pur și simplu folosiți $\mathbb{Z}_q[X] / (X^n-1) $, aplicând astfel $\mathsf{NTT}_n$ într-un mod simplu, fără complicații suplimentare?

Dumneavoastră declarați (ți-am corectat notația, clasele de reziduuri sunt luate cu a $/$ nu $\backslash)$ primul este setminus, care nu este același:

Cu toate acestea, în aproape toate schemele am văzut negaciclic se folosește convoluția – inelul este $\mathbb{Z}_q[X] / (X^n+1) $ și un truc este folosit pentru a calcula $\mathsf{NTT}_{2n}^{-1}\left( \mathsf{NTT}_{2n}\left(f\right) * \mathsf{NTT}_{2n}\left(g\right) ) \dreapta) $ folosind $\mathsf{NTT}_n$ deoarece trebuie să înmulțim polinoamele în $\mathbb{Z}_q[X] / (X^{2n}-1) $.

si pune intrebarea:

de ce sa te deranjezi $\mathbb{Z}_q[X] / (X^n+1) $ și nu pur și simplu folosiți $\mathbb{Z}_q[X] \setminus (X^n-1) $?

Dacă avem factorizarea polinomială $x^{2n}-1=(x^n-1)(x^n+1)$ apoi calcule modulo $x^{2n}-1$ poate fi accelerat prin convoluția (prin NTT) în raport cu fiecare dintre factori și apoi combinând. Asa de

1. Avem o factorizare care duce la o transformare rapidă, așa că luăm această cale. Cazul extrem este FFT complex când putem factoriza până la capăt în factori liniari $x^n-1=\prod_{i=1}^n (\omega^i-1)$ cu $\omega$ un primitiv $n^{th}$ rădăcină a unității.
2. Factorizarea este unică, nu o puteți folosi $(x^n+1)$ numai de când $(x^n+1)^2=(x^{2n}+2 x^n+1)$ și $q$ în general, nu este caracteristic 2. Dacă ai vrut să spui de fapt, folosește $x^{2n}-1$ direct, nu ai avea nicio accelerare.