Paillier 的密文空间 N 大于椭圆曲线 ECDSA 的阶 q，对秘密 x 加密后，再解密时需要模 q。如果参与方是不诚实的，那么会发生模 q 后约减。所以为了协议安全，需要检查被加密的值是否位于范围 [0, q-1] 内，另外还需要证明 Paillier 的模数 N 是合法的，然而这些证明计算量和传输数据量较大。

有如下替代方案：

DKLs18 和 DKLs19 采用 Oblivious Transfer (OT) 实现 MtA
计算速度比 Paillier 快几个数量级，但是通信数据量较大。签名交互轮数随着门限值 t 的增大而呈对数增长，也能转为常数轮，不过会增加通信开销。
CCLST20 采用 Class Group (CL) 实现 MtA，签名时需要 8 轮交互
消息空间与椭圆曲线的阶数相同，减少了在使用 Paillier 方案时需要使用的额外零知识证明，带宽消耗降低高达 10 倍
论文：Guilhem Castagnos, Dario Catalano, Fabien Laguillaumie, Federico Savasta, and Ida Tucker. Bandwidth-efficient threshold EC-DSA. Cryptology ePrint Archive, Report 2020/084, 2020. https://eprint.iacr.org/2020/084
CCLST 2023 是 CCLST20 的改进，支持 presign、识别恶意方等
论文：Bandwidth-efficient threshold EC-DSA revisited: Online/Offline Extensions, Identifiable Aborts Proactive and Adaptive Security. https://eprint.iacr.org/2021/291.pdf
高效实现 CL 的论文：BICYCL Implements CryptographY in CLass groups