(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。
+ U9 h9 |! t/ S3 R  ~( t5 v6 U' K! G0 a$ n, \5 |- ~
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。1 t; H2 r/ h) Y3 T& t4 i4 ~9 Q
一、数字签名标准8 B* d4 c1 b' t* q1 R5 k
私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。/ p! [* \+ l4 H5 D9 m. M
签名 对任意消息M，" v2 S, {( H/ d
-计算' P$ f4 g3 t, k/ B: y* }" c9 r
-选择，i=1,2,…,n-t-19 }) k. i( h" \$ h9 F$ V
-在G上计算
. a. Y2 I" m) n-计算" K% ]$ |+ Q* m2 {+ v) @
-输出
% Y" M# c5 G: W; v) t验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，
& r2 q# q( T$ V* g-检查，i=1,2,…,n-t-1
) V5 x: s& a- `2 r! r9 r, y-在G上计算
8 x0 w; K* [& Z" I-接受（输出1）当且仅当
5 O6 w, ^8 {5 B2 m2 D: }二、私钥生成协议
+ K, k) G6 U4 h3 P! @阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。
2 A0 H3 C. C- K! n# U, v每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。6 V8 A1 b$ b* j" i2 J0 `. v  o
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。
  y. i9 \# `) d5 \+ ~/ u5 m计算公钥及，j=1,2,…,n-t-1。
, `3 r; e- `1 x2 a将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。7 D: O& K8 V6 n. \% \  L- O+ }
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。; H5 m" i; e* S. v7 D2 Z
每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。
; V8 ?0 ^8 [, C3 F% r, V根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:
; q2 J  F7 q" s3 I
- P9 L" N- o9 p  ~阶段 3 与文献[1]相同。
: t* z( h. b, Z9 _; A) n1 X! C/ I三、签名协议7 k1 C+ ^" J; R) D
阶段 4 ，这里。
3 i+ @) d7 ]+ |9 q) ~阶段 5 中止条件为。% x3 A$ n. w! g6 t# D) N
其它部分与文献[1]相同。