Ok, depois de 2 meses de esforço sólido, estou batendo. O projeto "faça a configuração confiável do Groth16 em um TEE e obtenha um atestado remoto de que o lixo tóxico foi destruído" não teve sucesso. Vai TLDR abaixo. Mencionando aqui apenas porque não quero que ninguém seja dissuadido de trabalhar nisso porque acham que ainda estou trabalhando nisso quando na verdade não estou.

TLDR: - O único TEE que pode fazer isso atualmente (AFAICT) é o TDX, porque possui as garantias de RAM criptografada necessárias. (Lembre-se, para este projeto não basta saber que o código correto está sendo executado no TEE, você TAMBÉM precisa saber que um atacante físico na máquina não pode despejar a RAM durante a cerimônia e aprender o lixo tóxico). - O atestado remoto TDX assina "MRTD", que é um hash que será alterado se algum byte da imagem da VM for alterado. - Assim, para que um futuro auditor/usuário verifique se o TDX estava executando o código correto durante a configuração confiável (especialmente em qualquer tipo de forma automatizada), ele precisa ser capaz de reproduzir esse hash MRTD, o que, por sua vez, requer a reconstrução da imagem da VM a partir do código-fonte legível por humanos de maneira reproduzível bit a bit. - Não consegui criar uma imagem do GCP de maneira reproduzível bit a bit. (Mesmo um super mínimo, que apenas inicializa e abre uma porta SSH e literalmente nada mais).

Não tenho certeza se isso é possível com as ferramentas existentes prontas para uso. Pode exigir ajustes nas ferramentas existentes. O StageX foi profundamente útil, então recomendo usá-lo o máximo possível. Os problemas surgem quando você precisa de algo que não esteja disponível no momento por meio de uma camada StageX. Para então, você precisa construir o que precisar a partir do código-fonte (já que baixar tarballs sem construí-los você mesmo é um risco para a cadeia de suprimentos). E descobri que construir / compilar _a maioria_ do software a partir do código-fonte de uma maneira reproduzível bit a bit é extraordinariamente demorado, difícil e frágil. E em muitos casos eu não consegui fazer isso *de jeito nenhum*.

Eu recomendo fazer qualquer compilação de qualquer software que você precise dentro de um contêiner do Docker que consiste apenas em camadas StageX fixadas por hash. Essa técnica me deu mais quilometragem.