具有無限消息空間的 BGN 加密方案

在 Evaluating 2-DNF Formulas on Ciphertexts中指出

該系統中的解密需要消息空間T大小的多項式時間。因此，上述系統只能用於加密短消息

是否有任何其他擴展具有相同的屬性（對密文進行任意數量的加法和一次乘法運算）但也允許更大的消息空間？

在我的搜尋中，我只遇到Converting Pairing-Based Cryptosystems from Composite-Order Groups to Prime-Order Groups，但它並沒有解決這個限制。

有一種方案的目的正是如此，即基於 LWE 的 BGN-like 加密方案。一般來說，我們不知道如何使用離散對數式加密實現同態加密的大消息空間；目前所有已知的解決方案都需要基於格的密碼學。

編輯：閱讀對您問題的評論，您似乎只想洩漏輸出是否為零，通過大隨機屏蔽 $ r $ 乘法。但是標準的 BGN 密碼系統已經允許：各方始終可以解密 $ g_t^{\mathsf{DFN(x)}} $ 與 BGN ( $ g_t $ 是目標組的生成器），只有最後的離散對數要求消息空間小。然而，看到 $ g_t^{r\cdot\mathsf{DFN(x)}} $ 對於一個大的隨機 $ r $ 已經允許有效地查看是否 $ \mathsf{DFN(x)} = 0 $ 與否：如果它等於零，那麼 $ g_t^{r\cdot\mathsf{DFN(x)}} = 1 $ ; 否則， $ g_t^{r\cdot\mathsf{DFN(x)}} $ 只是一個隨機組元素，因為 $ r $ 是隨機的。

引用自：https://crypto.stackexchange.com/questions/67513