Fico feliz em ver que Jordy Baylina está pedindo um padrão compartilhado—segurança de 128 bits. Sinto-me compelido a acrescentar, no entanto: isso só importa se for matematicamente verificável, ou seja, sem confiança! Configuração confiável, para mim, é basicamente segurança de 80 bits.

Sim, claro, é caro de quebrar, e talvez ninguém tenha conseguido, mas se tivessem conseguido, você não conseguiria perceber. … até aquele dia em que você acorda e descobre que todos os ativos e todos os acessos de todos os usuários de todos os aplicativos na sua plataforma estão sob controle do inimigo.

E "configuração confiável universal" ou o que quer que chamem é basicamente segurança de 90 bits. Claro, é ainda mais caro para alguém quebrar, mas você ainda não pode dizer se eles conseguiram, até o dia em que você acorda para um cenário de desastre ainda maior.

Para mim, há uma linha clara e simples: um jovem matemático brilhante com um livro didático e um computador pode verificar de forma independente uma prova? Todos os sistemas de prova com configuração confiável, incluindo o popular Groth16, falham neste teste. O matemático não consegue verificar se as provas são forjadas.