On-the-fly (Girault, Poupard, Stern) で知識が漏れやすい場合ってあるじゃないですか. そういうときは証明者が何も送らなければいいんじゃないか? という発想が元だと思う.

秘密鍵はm次元バイナリベクトルx. 公開鍵は格子ハッシュのインデックスであるZq要素のn×m行列Aとハッシュ値のy=Ax.
基本方式は割と単純. S0を各要素が0以上5m-1以下のm次元整数係数ベクトルの集合とする. S1は各要素が1以上5m-1以下のm次元整数係数ベクトルの集合.

コミットメント

rをS0からランダムに選ぶ. a=Arをコミットメントとして検証者に送信.

チャレンジ

cを{0,1}からランダムに選び, 証明者に送信.

レスポンス

x+rがS1に含まれていないかつc=1の場合, z=⊥を送信. そうでない場合, z=r+cxを送信.

検証

zのノルムが5m^{1.5}以下かつ, Az=cw+yならばd=1に. そうでないならd=0に.

このままだと結構な確率で正当な証明者もz=⊥を送信してしまう. パラレルに実行することでd=1が多数決で勝てるようにしていると.
証明の方針は普通. WIであることを示して, 適当な公開鍵だと秘密鍵が2つ以上対応することを示す. 後, 敵が存在するなら10m^{1.5}以下のベクトルが二本取れてSISの平均時が解けることを示している.