(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。
0 t" i1 C$ f8 p- T6 Q8 |6 m7 p) Y- c. ]8 n1 y! f
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。
  f& @7 ~( D% t9 r9 T一、数字签名标准
- t1 g: C8 x# O6 w私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。
% K2 w7 n# ^: X签名 对任意消息M，  i1 p# |- ?, e. D6 h: B4 |
-计算$ ?  X% t; e% Y5 @+ X2 x! }" M
-选择，i=1,2,…,n-t-1
% T/ O0 E! c7 C-在G上计算
- A. @% {" X+ C: X-计算
# S# h8 U* ^8 P" l- X( s2 z6 D. h-输出$ x4 [* U- p# M- ^5 h; H
验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，
9 _8 d3 j/ Q# h3 x1 I2 \4 S-检查，i=1,2,…,n-t-1
4 z+ |3 ]5 _' c) F-在G上计算/ \# R1 d. v" g& ~
-接受（输出1）当且仅当$ N* V9 t8 P, T
二、私钥生成协议$ v1 E% ?; A5 g8 ^: j4 j5 d, j- l  U
阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。( i; D! L& F' j. C7 s% S4 e
每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。
8 H4 @& u1 I/ t) {2 H% C: [阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。
7 b4 p: @% n% S" P计算公钥及，j=1,2,…,n-t-1。
/ n- a7 a" A7 x将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。) ~8 d, }7 y0 Q! z+ n
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。
; E/ u6 ^, z6 Y3 s) b% I每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。. u0 g6 o4 ?1 q, g4 `) J- \
根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:
- W5 v2 q  g( S
. M+ G, t9 {! C8 K阶段 3 与文献[1]相同。' O( T& D5 K6 y* n( V6 R; ]. Z
三、签名协议
  N% X1 v( A* y3 ^阶段 4 ，这里。
, K( [9 ~( @3 a  K* [* q阶段 5 中止条件为。* t' `4 {/ m6 H* P, j; v
其它部分与文献[1]相同。