ความตั้งใจในการสร้างสัมประสิทธิ์ของ $r(x)$ เล็กไม่ได้ทำให้ชีวิตลำบากสำหรับผู้โจมตี แต่ทำให้ชีวิตเป็นไปได้สำหรับผู้รับ
จำได้ว่า $h(X)$ ถูกเลือกให้เป็นรูปแบบ
$$h(X)\equiv \frac{g(X)p}{f(X)}\pmod q$$
โดยที่ค่าสัมประสิทธิ์ของ $ฉ(X)$ และ $ก(X)$ มีขนาดเล็กและเป็นความลับ $p$ มีขนาดเล็กเมื่อเทียบกับ $คิว$ และ $คิว$ มีขนาดใหญ่เมื่อเทียบกับปริมาณเล็กน้อยทั้งหมด
ตอนนี้พิจารณา ถอดรหัส ซึ่งเริ่มต้นด้วยการคูณของ $ค(X)$ โดย $ฉ(X)$ ที่จะให้
$$c(X)f(X)\equiv r(X)g(X)p+m(X)f(X)\pmod q$$
ถ้าค่าสัมประสิทธิ์ของ $f$, $g$, $m$ และ $r$ ล้วนมีขนาดเล็กและมีความเป็นไปได้สูงที่เราจะเขียนได้
$$c(X)f(X)= r(X)g(X)p+m(X)f(X)$$
มากกว่าจำนวนเต็มโดยไม่มีโมดูโลการลดลง $คิว$ โดยการปัดค่าสัมประสิทธิ์ให้เป็น 0 (เช่น การบังคับเป็นช่วงๆ $[-q/2,q/2]$). ในทางกลับกัน ถ้า $r(X)$ มีขนาดใหญ่ใด ๆ (เทียบกับ $คิว$) ค่าสัมประสิทธิ์ เราไม่สามารถทำเช่นนี้ได้อย่างแน่นอน
หากกระบวนการปัดเศษของเราสำเร็จ เราสามารถลบส่วนร่วมของ $r(X)$ โดยการลดโมดูโล $p$ แล้วฟื้นตัว $ม(X)$.
โปรดทราบว่ากระบวนการปัดเศษไม่รับประกันว่าจะสำเร็จเมื่อระดับเพิ่มขึ้น ดังนั้น NTRUEncrypt จึงมีความเป็นไปได้ที่จะเกิดความล้มเหลวขึ้นอยู่กับขนาดและระดับของค่าสัมประสิทธิ์ และเราต้องพยายามให้ต่ำ โปรดทราบว่าความล้มเหลวอาจขึ้นอยู่กับตัวเลือกของ $ม(X)$ ซึ่งทำให้ผู้โจมตีสามารถรับข้อมูลเกี่ยวกับคีย์ส่วนตัวได้ (อีกครั้งด้วยความน่าจะเป็นที่เราพยายามเก็บเล็ก ๆ น้อย ๆ )
คุณถูกต้องที่ $r(X)\pmod q$ สามารถกู้คืนได้โดยการแก้ CVP โดยไม่คำนึงถึงขนาดของค่าสัมประสิทธิ์ (สมมติว่าค่าสัมประสิทธิ์ของ $ม(X)$ มีขนาดเล็ก)