Ответ «да», а модификации относительно несложны для экспертов (поэтому вы можете не часто их видеть).
Существует примерно три класса модификаций, я постараюсь вкратце упомянуть их все.
Повсюду я буду ссылаться на стандартную схему шифрования «типа Регева».
$$\mathsf{Enc}_s(m) = (A, As + e + (q/2)m),\qquad \mathsf{Dec}(A, b) = \lfloor b - As\rceil_2$$
где функция $\lfloor x\rceil_p = p\lfloor x/p\rceil$ раунды $х$ до ближайшего целого числа, кратного $р$ (и $\lэтаж x\rceil$ является стандартной функцией «округления до ближайшего целого числа»).
Во-первых, есть стандартный способ перейти из пространства сообщений $\mathbb{Z}/2\mathbb{Z}$ к $(\mathbb{Z}/2\mathbb{Z})^n$, а именно через «матричную схему шифрования».
Идея состоит в том, чтобы иметь $n$ независимые ключи $s_1, s_2,\точки, s_n$.
Вы можете собрать их в матрицу $\mathbf{S} = [s_1,\dots,s_n]$, а затем шифрование с помощью
$$\mathsf{Enc}_{\mathbf{S}}(\vec m) = (A, A\mathbf{S} + \vec e + (q/2)\vec m)$$
Практически мы «повторно используем» $А$ через $n$ разные шифровки. Как $А$ является самой большой (по размеру) частью схемы, это приличная экономия. Ключи увеличиваются на мультипликативный коэффициент $n$ хоть. Я полагаю, что эта оптимизация упоминается в PVW08 ("Может быть, функции-лазейки с потерями и их приложения"?), но не знаю, было ли это первым случаем.
Еще один способ перейти из пространства сообщений $\mathbb{Z}/2\mathbb{Z}$ к $(\mathbb{Z}/2\mathbb{Z})^n$ заключается в использовании более общих колец, т. е. в использовании RLWE. Это несколько математически нетривиально, поэтому я дам общий обзор.
Шифрованные тексты теперь имеют форму $(a, as + e + (q/2)m)$, где сейчас $а, с, е, м$ все многочлены степени $n$.
В частности, получается шифрование битовых векторов в $(\mathbb{Z}/2\mathbb{Z})^n$ "бесплатно", в частности без необходимость увеличения размера секретного ключа. Это один из наиболее эффективных способов обойти битовое шифрование, и он невероятно популярен на практике (например, каждое решение NIST использует ту или иную версию этого, то есть либо RLWE, MLWE, либо нецелочисленный материал NTRU, за исключением FrodoKEM, которого намеренно нет из соображений безопасности).
Что делать, если вам не нравится внешний вид $\mathbb{Z}/2\mathbb{Z}$ где угодно?
Все вышеперечисленные истории можно обобщить, чтобы иметь пространство для сообщений. $\mathbb{Z}p/\mathbb{Z}$ (а не конкретный случай $р = 2$) заменой члена $(кв/2)м$ к $(кв/р)м$ (где в первом случае выбираем $q$ такой, что $2\середина q$.
После обобщения мы хотим $p\середина q$).
Это дает шифрование с пространством сообщений $\mathbb{Z}/p\mathbb{Z}$, или после двух упомянутых мною оптимизаций $(\mathbb{Z}/p\mathbb{Z})^n$.
Обратите внимание, что это не бесплатно --- очень грубо говоря, термин $(кв/2)м$ используется для обеспечения правильного дешифрования и работает при наличии ошибок $|е| < q/4$ в каждой координате.
Для общего $р$, эта граница ужесточается, и должна быть ошибка $|е| < q/2p$ в каждой координате.
Эта меньшая ошибка приводит к менее безопасным схемам.
Можно обойти это с помощью перепараметризации вещей, но дело в том, что переход от $\mathbb{Z}/2\mathbb{Z}\mapsto\mathbb{Z}/p\mathbb{Z}$ не приходит "бесплатно".
Для вашего обновленного вопроса стоит упомянуть, что существуют схемы шифрования на основе LWE (даже FHE !!) с коэффициентом расширения зашифрованного текста (асимптотически оптимальным), см.
