(t,n)签名方案，能够识别签名过程中的恶意攻击者。但是，这里仍然有一个问题。我们无法保证不会有t+1个参与者合谋作恶，而且当时作恶发生后，我们无法确定哪些人参与了作恶。本文提出了一种改进方案，能够从签名中获知哪些人参与了签名。
% w& v  W7 d' q* P! V1 E, p
* @% ]' A9 a/ ]% \. L8 ~2 E0 Z本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。
' R4 H: O$ T! I' k  w% H! V一、数字签名标准# w0 t, q. N; h2 _# k2 A  ]( Z
私钥生成 在Zq上随机选择私钥x及xi，计算循环群G上的公钥及，i=1,2,…,n-t-1。" D7 W8 v9 @3 W& v
签名 对任意消息M，( {2 k3 w/ [: Q4 s! g0 v" b; V) z
-计算
6 g7 Z" ^( Y- x6 @-选择，i=1,2,…,n-t-1# h6 Y: R, U; r5 N8 o
-在G上计算& ?) [, h4 D; W! K
-计算
5 U  @5 p$ Q. W1 Z" _-输出1 G9 |" V: b' K' q
验证 对输入M，σ,y和yi，i=1,2,…,n-t-1，! h6 x+ x7 ], [2 i% A
-检查，i=1,2,…,n-t-1
' [% T& j7 C2 X7 P- v-在G上计算
3 O! O( _( H2 j; a-接受（输出1）当且仅当$ s( k) G( w" P( K
二、私钥生成协议1 X5 t/ k; M$ [3 l. |. `& p" A4 h
阶段 1 每一个参与者Pi选择；计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。, {& d! z6 P% b4 k$ \% o% \: c% y' |
每一个参与者Pi选择；计算并广播KGCi,j。这里j=1,2,…,n-t-1。% e4 w$ t8 u. ~- ]) n" F: ?
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。+ n7 W3 g% e( `: L1 `
计算公钥及，j=1,2,…,n-t-1。
/ m+ }! b! p- r; y将作为种子，使用公开的随机数生成算法生成一组伪随机数，j=1,2,…,n-t-1。: x8 H8 N- W) g, r1 H& m
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。$ g( }! a  A; P+ a
每一个参与者Pi计算，将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi，计算并公开。
& ~1 Z, ?1 f' c. @根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:5 s. X) l' O4 N7 h: r9 C
% J5 s- ?! ]! }: N+ A
阶段 3 与文献[1]相同。
0 x$ D- D& R9 c. w8 s* T三、签名协议; N# o% H; l9 c+ x" F; A. |
阶段 4 ，这里。3 p6 N' z: s% e& ?
阶段 5 中止条件为。1 J! _. A7 U9 D! H1 h$ o
其它部分与文献[1]相同。