(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。" d. i; ]$ o" e+ t5 ~& w7 r* t9 F
( \+ z# e' W. k) `2 X6 A2 C+ Y
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。! y1 l- g5 Q4 @/ A6 b
一、数字签名标准
, Y+ V0 L6 N6 f! ]$ o' k2 ^私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。
8 \/ K( `4 }" W+ W9 v8 o签名 对任意消息M，) g% @$ \  p1 j2 B  K3 m, R
-计算5 m& p5 A5 c) e) P3 c9 _
-选择，i=1,2,…,n-t-15 u- S( [) O8 i" E0 I5 G: y; T
-在G上计算. ]6 t8 n# a3 x9 A
-计算
* ~9 F0 k- T. ~/ _( o7 z' j-输出( }1 O# E& v& L, i4 S
验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，
1 J1 {& ~& V7 W# c" |$ M-检查，i=1,2,…,n-t-1
4 v' o) b! X& G' i4 ]9 k# C8 m; M( a-在G上计算- K5 _; C0 E& Y& F' ?9 G' Q$ i% I! r
-接受（输出1）当且仅当
* \. R" Z) A) q7 G' f7 `二、私钥生成协议; b5 ^0 r( B, {9 l: q3 w% r; H
阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。2 s# z* h$ p% f( x# O# D
每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。
. S3 t" D7 _* w# c1 g阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。2 Y, G6 J; t- F% q# P; J
计算公钥及，j=1,2,…,n-t-1。
2 p% z, @* |1 V  V7 |将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。8 e- K) G8 B! H- \# Z# E0 l
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。
2 e) G) C6 q) w每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。
% Z+ K8 H* p( p$ y7 D) Q6 E  `根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:
) T2 X/ s; {# @: f; L! g% |" D/ a' _" {( I$ r" T
阶段 3 与文献[1]相同。" D4 ]- r$ t; p, s
三、签名协议/ ?; ~1 j9 l: c, Y9 G6 P
阶段 4 ，这里。9 \; o  q/ l8 {  }9 X* f
阶段 5 中止条件为。
9 S* X/ J3 ?; J其它部分与文献[1]相同。