一个经过认证且安全的国际会计系统

我公司通过随机选取RIA并计算ci=fH（Ei，ri）来做出承诺。这种隐藏和约束协议保证其他人在报告后无法了解企业的排放数据，除非选择该企业进行验证。在验证过程中，验证人将学习ei和RIA以及ei，h。她将通过检查仪表的状态，验证ei和h是否正确生成，ei是否根据ei，h正确计算，以及CII是否根据ei和ri正确计算。公司i在提交后无法披露EIC的不同总排放值，因为该公司不可能找到另一对EIC和RithatCI。随机列表生成我们的排放核算系统的一个先决条件是，核查人员和国家应就随机选择的核查企业子集达成共识。无论是验证人还是国家都不应该有能力影响随机列表的生成。在这里，我们根据下面描述的随机列表生成协议的承诺方案设计arandom值生成协议。随机列表生成协议1。该国提供了一份待选择企业的完整列表。如果提交人发现这样的命令r，我们必须有fH（m，r）=fH（m，r）和进一步的（m+rh）·G=（m+rh）·G。因为n·G的序列是周期性的，周期为q，q可以被（m+rh）整除- （米+右）。然后提交者可以通过计算h=（r）来学习h- r）-1·（m）- m） mod q.2构建协议2。设L为固定列表的长度，国家和验证人使用随机值生成协议从[L]生成随机值。3.将第十家公司添加到验证列表中，并将其从公司列表中删除。4.

上述两个步骤重复k次，将k家公司添加到验证列表中。随机值生成协议要求验证人和国家分别提供随机值MVMC和mc。如果不使用加密算法，并且天真地选择mv+mcmod L作为随机值m，则无法保证随机性。这是因为该国可以通过选择mc=~m来创建一个首选值m- mv如果国家在选择MCO之前了解到MVO，或者在选择MCO之后能够篡改MCA。因此，我们还需要采用通信方案来设计随机值生成协议。我们让国家和验证人先将他们的选择（MVM和mc）放入安全保险箱（CVC和cc），然后交换保险箱并打开保险箱。交换保险箱后，在打开保险箱之前，国家和验证人已将他们的选择锁定在保险箱中，并且没有看到对方的选择，因此双方的选择必须独立于对方的选择。该过程正式化为以下步骤：随机值生成协议1。验证人和国家/地区分别运行承诺和发布HVHC的设置过程。2.验证人选择一个随机值mv，并通过选择rv和计算cv=fHc（mv，rv）做出承诺。然后审核人发布简历。国家以同样的方式计算CCA和SIT。3.核查人员公布了MVA和rv，因此国家可以通过MVA和rv检查CVI是否正确计算。这个国家也在做同样的事情。4.设m=mv+mcmod L为输出随机值。随机值生成协议保证，只要一方遵守协议并提交随机值（mvor mc），输出m就必须随机分布。

因此，按照随机列表生成协议生成的验证列表保证为berandom。可验证总和我们的排放核算系统需要确保国家根据企业级排放数据{Ei}ni=1正确计算国家级排放量E，该数据已转换为承诺信息{ci}ni=1。由于承诺方案自然地具有可加性，PicifH（m，r）+fH（m，r）=（m+m）·G+（r+r）·H=fH（m+m，r+r）2构造协议本质上是带有随机值piri的数据的承诺。形式上，我们设计了一个平均求和协议来实现该机制。可验证的总和协议1。该国从所有公司接收{Ei}ni=1和{ri}ni=1，并出版E=Pieandr=Piri。2.

验证者检查pICI=fH（E，r）。综述图1通过将所有协议与测量、报告和验证过程联系起来，总结了排放核算框架。计量表上的差异    countryCompute的差异 计算  使用随机FirmMeters公司iCountryVerifier的差异会产生每小时的排放量使用数字签名报告年度排放量和, Country与countryPublish联合生成公司的随机列表公司的通行证 在随机列表中，观察 并验证 ,   故障数据经过身份验证PassReportingVerificationVerification  为了公司 在随机列表中，观察 并验证signaturePassFailCompute 从…起并验证   出版 和百货商店 在本地安全存储中隐藏和绑定协议可验证总和协议随机列表生成协议测量区域列表生成图1：排放核算框架概述。3讨论讨论讨论到目前为止，我们提出的经过认证的安全排放核算系统提供了一个加密框架，可以为一个程式化的多国ETS保持数据的真实性和安全性。还有几个方面值得讨论。首先，我们的框架强调了排放计量系统国际标准的作用，包括传感器、辅助硬件和数字签名方案。这些标准确保了颗粒排放数据的真实性，整个报告和验证过程都是基于这些数据建立的。

降低该系统的成本对于实现大规模部署至关重要，因为到目前为止，高精度共传感器的成本仍然很高。第二，尽管我们在多国ETS和验证方之间的互动中定义了我们的框架，以明确表示，但现有的加密协议可以将随机列表生成协议扩展到多个国家[21]。当来自不同国家的缔约方同时与验证方互动时，上述所有报告和验证流程仍与合理的扩展相兼容。第三，一些更复杂的加密工具可能会添加到现实世界应用程序的框架中。例如，我们可能需要引入一种特定形式的零知识保护协议，称为范围保护协议[3,14]，以避免一些不受欢迎的行为。在极端情况下，该国和其中一家公司可能会通过让该公司报告负的企业级排放Ei，合谋大幅降低国家级排放E。除非在随机验证中选择了该特定企业，否则验证总和协议不会检测到操纵，因为国家层面排放量的总和是由国家诚实完成的。范围验证协议仅允许提交一个介于0和相当大的企业级排放值之间的整数的普通消息。零知识证明协议可以进一步合并以加强我们的系统。在我们目前的设计中，核查人员仍然需要检查选定公司的敏感数据，而且核查人员仍然有机会在不被发现的情况下误报。这两个限制可以通过采用零知识证明协议来解决，该协议由隐藏和投标协议中的证明算法和验证算法组成。

prove算法将所有敏感数据Ei、h、Ei、包含有关企业自报排放量、ci和RIA信息的消息输入，并输出不包含敏感数据信息的证明。VerificationalGorithm将提交的消息和证据作为输入，并可以判断企业的自报消息是否真实生成。我们承认，更多对于构建未来多国ETS至关重要的数据方面被排除在我们的讨论之外。然而，我们认为，本文所勾画的框架展示了现代密码学可以为未来的国际气候治理带来的一些可取的特征，特别是有助于《巴黎协定》第6条的谈判和实施。我们敦促在这方面开展更多研究，以加强信任，加快合作行动，实现气候目标。参考文献[1]拜耳，P.和阿克林，M.欧盟排放交易系统降低了碳排放量，尽管价格较低。美国国家科学院院刊，第117页，第16页（2020年）。[2] BLUM，M.通过电话投币是解决不可能的问题的协议。ACM SIGACT新闻15，1（1983），23-27。[3] B"UNZ，B.，BOOTLE，J.，BONEH，D.，POELSTRA，A.，WUILLE，P.，和MAXWELL，G.防弹：用于身份交易的防弹衣等。2018年IEEE安全与隐私研讨会（SP）（2018），IEEE，第315-334页。[4] DAMGARD，I.承诺方案和零知识协议。由欧洲教育论坛（1998年）组织的学校教育，斯普林格，第63-86页。[5] DE SANTIS，A.，MICALI，S.，和PERSIANO，G.非交互式零知识证明系统。《密码技术的理论和应用会议》（1987年），斯普林格，第52-72页。[6] 《密码学新方向》。

IEEE信息理论学报22,6（1976），644-654。[7] DUFLO，E.，GREENSTONE，M.，PANDE，R.，和RYAN，N.《第三方审计人员讲真话和污染企业的反应：来自印度的实验证据》。《经济学季刊》第128期，第4期（2013年）。[8] DUFLO，E.，GREENSTONE，M.，PANDE，R.，和RYAN，N.《监管自由裁量权的价值：来自印度环境检查的估计》。《计量经济学》86，6（2018）。[9] GLASER，A.，BARAK，B.，和GOLDSTON，R.J.核弹头验证的零知识协议。《自然》杂志5107506（2014），497-502。[10] 《密码学基础》。剑桥大学出版社，2009年。[11] GOLDWASSER，S.和MICALI，S.概率加密。计算机与系统科学杂志28，2（1984），270-299。[12] 《现代密码学导论》。华润出版社，2014年。[13] 兰利，A.，汉堡，M.和特纳，S.Rfc 7748：安全椭圆曲线，2016年，2016年。[14] 关于丢番图复杂性和统计零知识论点。《密码学和信息安全理论与应用国际会议》（2003年），斯普林格，第398-415页。[15] 椭圆曲线加密（ecc）是标准曲线和曲线生成的大脑池。技术代表，RFC 56392010年3月。[16] 比特币：一个点对点电子现金系统。https://bitcoin.org/bitcoin.pdf (2008).[17] PEDERSEN，T.P.非交互式和信息论安全可验证秘密共享。在年度国际密码学会议（1991年）上，斯普林格，第129-140页。[18] QU，M.Sec 2：建议的椭圆曲线域参数。Certicom Res.，密西西比索加，加拿大安大略省，技术代表SEC2-Ver-0.6（1999年）。[19] RIVEST，R.L.，SHAMIR，A.，和ADLEMAN，L.一种获取数字签名和公钥密码系统的方法。

ACM 21，2（1978），120-126的通讯。参考文献[20]SASSON，E.B.，CHIESA，A.，GARMAN，C.，GREEN，M.，MIERS，I.，TROMER，E.，和VIRZA，M.Zerocash:比特币的分散匿名支付。2014年IEEE安全与隐私研讨会（2014年），IEEE，第459-474页。[21]辛德勒，P.，朱德迈耶，A.，斯蒂夫特，N.，和韦普尔，E.海德兰：有效的连续分布随机性。2020年IEEE安全与隐私研讨会（S&P）（2020年），IEEE，第73-89页。[22]姚，A.C.陷门函数的理论与应用。在第23届计算机科学基础年会（FOCS）（1982年）上，IEEE，第80-91页。[23]ZHANG，D.，ZHANG，Q.，QI，S.，HUANG，J.，KARPLUS，V.J.，和ZHANG，X.中国早期碳市场中企业排放报告的完整性。《自然与气候变化》第9、2期（2019年）。