Sí, esto podría hacerse, pero ¿cuál sería el punto? No verificaría nada sobre el documento. Una firma (ligeramente simplificada) es solo una encriptación de un hash seguro de un documento usando una de las claves del par. La clave privada se utiliza para probar que solo el titular de la clave privada podría firmarla. En el caso de firmar con la clave pública, cualquiera podría alterar el documento y firmarlo, por lo que no prueba nada. No solo eso, la única persona que podría verificar la "firma" sería el titular de la clave privada, por lo que no le sirve para nada.
Al leer el documento, no puedo ver cómo esperan que funcione el proceso y parece que está usando el término firma por error. Lo que probablemente describen es la protección de la ID de sesión como un token seguro mediante el uso de cifrado con la clave pública y luego el descifrado en el servidor con la clave privada. El uso del término firma es incorrecto y no proporcionaría la seguridad necesaria en su caso de uso. El documento no está muy bien escrito y tiene otras secciones mal redactadas. Me pregunto si puede ser un artículo mal traducido donde el inglés no era el idioma original ya que veo que un autor es de Taiwán. Aunque los coautores de los EE. UU. Deberían haberlo revisado para que no confíe demasiado en el documento.
Actualización: en lecturas adicionales ahora entiendo lo que dicen en el documento. Es un resumen muy mal redactado. Están utilizando un sistema donde tanto el comerciante como el comprador tienen un par de claves. El comerciante proporciona una factura firmada que el cliente puede verificar que proviene del comerciante. Luego firman su orden de compra que incluye la factura que están solicitando. El comerciante luego verifica que el cliente firmó la solicitud de compra y verifica que su factura no haya sido modificada. Es un poco más complicado de lo que parece ser, pero es preciso cuando se toman las instancias adecuadas de claves públicas y privadas.