(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。
& v: a, R" |- l- l, u& P+ z) w+ x% [# g& ]
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。
: w' C  O6 ^; x一、数字签名标准
. i( a: `3 t6 s% p私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。" E) c, C5 u% _  @+ D, K
签名 对任意消息M，
# }. s, z  V6 K" U; r- Z-计算
- z- f' L- b7 t( F  J-选择，i=1,2,…,n-t-1( S* \' h1 A% g
-在G上计算: T% m. y9 z) h5 _4 M( p( s! z" e
-计算- l+ f- P6 N. e& }! v. E: I% N4 H# l9 X
-输出
6 N/ E) ~4 O' q1 W( ?验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，
9 w: W  O! }2 Q# I7 m-检查，i=1,2,…,n-t-1% j+ D) }- F- B1 i* L
-在G上计算
. j( _3 T4 y: w8 N-接受（输出1）当且仅当
& E- s+ U$ u9 }' X二、私钥生成协议
5 M7 _) M- L' z4 {5 P3 @阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。
5 k: x3 Q7 P/ @5 u* c$ r# N每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。5 _" _! M( {( E
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。
% v* K( ?) A7 j5 R计算公钥及，j=1,2,…,n-t-1。
  P8 T/ t" C+ L3 J$ E将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。
- ]+ L7 ?+ G) ?, I+ I5 w每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。
$ S' l* z; K- d' O每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。
& k! e7 h$ i; n8 ^( [根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:
- J/ Y; M/ }' K0 a) ]: s4 F3 w5 t5 Y5 y
阶段 3 与文献[1]相同。+ e9 @6 i! H  a6 ]7 T
三、签名协议9 ]  t* T# `& j' O) {
阶段 4 ，这里。9 ?7 {. h! N, X, P1 |
阶段 5 中止条件为。* l& X9 p: Q1 `( F2 f$ u$ b
其它部分与文献[1]相同。