失败-终止签名（Fail-Stop Signature）是一种经过强化安全性的数字签名，用以防范有强大计算资源的攻击者。使用防失败数字签名，签名者不能对自己的签名进行抵赖，同时即使攻击者分析出密钥，也难以伪造签名者的签名。

失败-终止签名的基本原理是：对每个可能的公开密钥，对应着很多私有密钥，它们都可以正常工作，而签名者仅仅持有并知道众多私有密钥中的一个，所以强大的攻击者恢复出来的私有密钥刚好是签名者持有的私有密钥的情况出现的概率是非常小的。而不同的私有密钥产生的签名是不相同的，以此鉴别出伪造者的签名。

Pfitzmann和Waidner于1991年首先提出了失败-终止数字签名的概念，随后，van Heijst等人给出了第一个有效的失败-终止签名方案。

（1）构造参数：产生参数需要签名者和可信的第三方（TTP）参与。第三方产生公开的全局参数，签名者自己产生签名用的私钥与公钥。全局参数包括：p、q都是大素数，且q|（p-1），要求在Z*q中求解离散对数困难；α∈Z*p，α的阶数为q，也就是α是生成元；选取随机数a0，1≤a0≤q-1，a0作为秘密数；β=αa0 mod p。第三方公开（p，q，α，β）作为全局参数使用；a0对所有人保密。签名者产生私钥参数（a1，a2，b1，b2）。a1，a2，b1，b2是4个随机数，属于区间[0，p-1]。签名者产生公钥参数（r1，r2），根据私钥参数计算：r1=αa1βa2 mod p，r2=αb1βb2 mod p。(www.daowen.com)

（2）签名过程：对消息M的签名过程如下，M∈Zq。计算y1=（a1+M b1）mod q，y2=（a2+M b2）mod q。消息M的签名为S=（y1，y2）。

（3）验证过程：接收者收到消息M和签名S之后，可以如下验证签名的有效性。获取签名者公钥和相关参数（p，q，a，β，r1，r2）。计算v1、v2：v1=r1 rM2 mod p，v2=αy1βy2 mod p。比较v1、v2，相等表示签名有效，否则签名无效。