Tôi rất vui khi thấy Jordy Baylina đang kêu gọi một tiêu chuẩn chung—bảo mật 128-bit. Tuy nhiên, tôi cảm thấy cần phải thêm rằng: điều đó chỉ quan trọng nếu nó có thể được xác minh bằng toán học, tức là không cần tin tưởng! Thiết lập đáng tin cậy, đối với tôi, về cơ bản là bảo mật 80-bit.

Vâng, chắc chắn, việc bẻ khóa thì tốn kém, và có thể không ai đã bẻ khóa nó, nhưng nếu họ đã làm thì bạn sẽ không thể biết được. … cho đến ngày mà bạn thức dậy và phát hiện ra rằng mọi tài sản và mọi quyền truy cập của mọi người dùng trên mọi ứng dụng trên nền tảng của bạn đều nằm dưới sự kiểm soát của kẻ thù.

Và "thiết lập tin cậy toàn cầu" hay bất cứ cái gì họ gọi là, về cơ bản là bảo mật 90-bit. Chắc chắn, nó thậm chí còn tốn kém hơn cho ai đó để phá vỡ, nhưng bạn vẫn không thể biết họ đã làm được hay chưa, cho đến ngày bạn thức dậy với một kịch bản thảm họa lớn hơn.

Đối với tôi, có một ranh giới rõ ràng: một nhà toán học trẻ sáng dạ với một cuốn sách giáo khoa và một chiếc máy tính có thể xác minh độc lập một chứng minh hay không? Tất cả các hệ thống chứng minh thiết lập tin cậy, bao gồm cả Groth16 phổ biến, đều không vượt qua bài kiểm tra này. Nhà toán học không thể xác minh liệu các chứng minh có bị làm giả hay không.