Так что в целом шифрование Эль-Гамаля гомоморфно только относительно. умножение. Однако с помощью нескольких настроек можно преобразовать ElGamal в экспоненциальный ElGamal (и я думаю, это то, о чем вы говорите).
Основное отличие Эль-Гамаля от экспоненциального Эль-Гамаля в том, что вместо сообщения: $м$ вы должны зашифровать $г^{м}$. При расшифровке это означает, что нужно решить задачу дискретного логарифма, чтобы получить $м$. Для небольших чисел это вообще не проблема (таким образом, это прекрасно работает в схеме голосования, где накопленные числа в общем-то не такие уж и большие), но вы правы, когда $м$ становится больше, все может стать грязным и медленным.
Насколько я знаю, у вас нет этого ограничения с Пайе.
Безопасность этих алгоритмов исходит из разных предположений. В то время как Эль-Гамаль опирается на Диффи-Хеллмана (соответственно Решающий-Диффи-Хеллман), Пайе основан на комбинированное допущение о повторном принятии решений.
Я не просматривал соответствующие документы, чтобы узнать, какие доказательства безопасности они предлагают, но я думаю, что если вы используете их надлежащую реализацию с правильными параметрами, то оба варианта полностью подходят для системы электронного голосования.