Нет единого простого ответа. n-битная безопасность означает логарифм по основанию 2 (обычно записывается просто $\лог$) количества «операций», необходимых для взлома примитива.
Для симметричного шифра, такого как AES-128, «операция» обычно представляет собой пробное шифрование или дешифрование, что намного больше, чем один цикл ЦП. AES-128 обычно имеет 128-битную безопасность, потому что $2^{128}$ возможные ключи, и нет общей атаки быстрее, чем попробовать все ключи, и $\лог(2^{128})=128$.
Асимметричные системы, такие как Paillier, ElGamal и EC ElGamal, атакуют гораздо быстрее, чем перебирают все возможные ключи. Таким образом, чтобы рассчитать «эквивалентную симметричную безопасность» в битах, вам нужно рассчитать стоимость самой известной атаки на используемые параметры.
Вам также необходимо решить, сильно ли отличается стоимость «операции» в такой атаке от «операции», атакующей симметричные шифры, с которыми вы сравниваете, и если да, то масштабируйте количество операций соответствующим образом.Это последнее соображение объясняет, почему асимметричные системы, подобные Эль-Гамалю, будут иметь вдвое меньше битов защиты от атак универсальных квантовых компьютеров с исправлением ошибок, чем от современных компьютеров.
Я не особо знаком с современным состоянием атак на три рассматриваемые системы, поэтому не могу назвать абсолютные цифры. Таким образом, это лишь частичный ответ на заданный вопрос.