(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。
# X$ V7 j% c, D# v$ ]# d- C7 y. m$ s+ G) Y
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。
- X# W* k6 z' y: o一、数字签名标准6 n: n; i% c- o
私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。
( T# K: n, |& L% C% |6 [5 ^签名 对任意消息M，9 @+ W6 ~+ d) b$ o4 k0 F
-计算+ }2 {9 S* h3 B; t& y0 w! b
-选择，i=1,2,…,n-t-1
' B5 k+ b/ _5 T3 y3 ], P) {( j-在G上计算
: ^+ R8 K; M* E+ o-计算7 _0 K3 E8 [! H$ C3 U8 [; E
-输出
8 u7 P1 \0 [# O, s  k5 `4 K验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，
! r, o# U2 w* q' e4 w6 w) J- Z-检查，i=1,2,…,n-t-12 T6 H2 o; x1 B  q8 V8 H
-在G上计算9 E* @' t2 J- F; A- T5 W
-接受（输出1）当且仅当
) W/ c/ b" `7 k# S7 _二、私钥生成协议
1 W& d6 O' _/ @' K/ @8 Z阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。
' \4 @6 D* B5 f, X9 X; z+ r每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。
2 j. C) H" U$ f1 E  n阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。
5 i/ K5 @  Z8 o计算公钥及，j=1,2,…,n-t-1。
2 E/ R; ?3 x, v7 ^" m9 W将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。' d* n6 O' ]* k2 T3 P
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。
. \0 p' E7 V6 Q8 ?4 A* o每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。
6 t6 {6 H  j$ {/ g- m$ Y5 L& Q根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:
# z) F  l- G$ W# P# x9 O3 J6 P$ f+ t! ?
阶段 3 与文献[1]相同。" @6 h1 g7 E- @0 g, i" @
三、签名协议
8 O5 f2 S8 w4 k* B阶段 4 ，这里。
- i* t+ [/ O( Q阶段 5 中止条件为。
3 t/ G5 f, N2 f! q& @; l其它部分与文献[1]相同。