保护比特币 Shamir 备份 – 比特币杂志：比特币新闻、文章、图表和指南

在 2017 年牛市的高峰期，我遇到了一个发人深省的帖子。 事情是这样的：有一个年轻人很早就买了大约 20 个比特币。 随着 2017 年价格从 1,000 美元涨到近 20,000 美元，他觉得自己的财富超出了他最疯狂的梦想，并决定去旅行。 有一次，他在墨西哥的一家不错的酒店里，在屋顶矿池旁聚会。 事情一发不可收拾，然后他倒在下面的街道上死了。 这篇特定帖子的作者是该男子家人的朋友，想知道是否有任何方法可以访问比特币。 然而，这个年轻人使用了受密码保护的 Trezor，并没有在任何地方写下密码。 比特币因此与该男子的生命一起丢失。

比特币是一种不记名工具，这意味着你的幸存者知道你的堆栈是不够的——他们必须能够访问密钥。 另一方面，您不一定希望您的家人在您还活着的时候使用您的比特币。 所以需要有某种允许访问管理的备份计划。 Shamir 备份正好用于此用例。

但在我们详细了解 Shamir 备份的工作原理之前，让我们简要回顾一下什么是种子备份。

种子备份

在比特币的起步阶段，正确地进行备份是一项挑战。 在确定性钱包发明之前，必须备份所有个人私钥，可能是数百个密钥。 不出所料，由于这个笨重的备份过程，许多比特币丢失了。 2012 年，Pieter Wuille 提出了分层确定性钱包（HD 钱??包，由 BIP32 标准化）的巧妙发明，它使备份变得更加容易——用户现在只需要保护一个主种子，然后从中生成个人私钥。 一年后，BIP39 标准化了助记词种子——一组按特定顺序排列的单词，起到了高清钱包备份的作用。 使用助记符种子，备份变得更加容易，因为与写下随机的字母和数字字符串相比，在写下普通单词时几乎没有出错的余地。

所以现在你实际上并不像这样备份你的私钥，而是备份恢复种子——通常以特定顺序的 12 或 24 个单词的形式。 您可能会丢失手机或损坏硬件钱包，但如果您将恢复种子安全地存储起来，您仍然可以访问您的比特币。

安全地存储恢复种子是棘手的部分。 我们必须保护种子免受以下两种风险：

虽然盗窃的风险要求尽可能少的副本——最好是你家里的副本——但丢失的风险则相反。 只有一份恢复种子的副本实际上是在玩火。 因此，您需要在多个物理位置拥有多个副本 – 但您需要确保这些副本即使被陌生人发现也不会被滥用。 基于单个单词列表的普通恢复种子无法满足此标准。

进入沙米尔

Shamir 的秘密共享 (SSS) 是以色列密码学家 Adi Shamir 在 1979 年制定的一种密码技术。 Shamir 方案的本质在于能够通过将机密分解为多个单独无用且不泄露机密或方案设置信息的共享来备份、共享和恢复机密。

有两个与 SSS 相关的重要参数：份额，或者秘密有多少部分； 和阈值，或者我们需要合并多少份才能恢复秘密。

例如，“3 of 5 Shamir 备份”表示用户在设置方案时创建了 5 个共享，访问原始秘密的阈值要求是 3 个共享。 使用哪三个共享来恢复秘密并不重要。

这意味着 Alice 可以通过以下方式备份她的种子（假设 5 个 Shamir 备份中有 3 个）：

当然，单个股票采用模拟形式——手写在纸上或印在金属片上（使用 Cryptosteel、Cryptotag 或其他类似的解决方案）。 爱丽丝很清楚，她永远不应该在联网的计算机上写下股票或保留数字副本。

有了这种安排，即使她的房子被烧毁，Alice 也不必担心无法获得她的比特币，因为她可以通过从她的朋友、她的母亲和保险箱那里收集剩余的股份来重新获得比特币。 她也不需要担心被盗，因为没有一个地方能满足获取硬币的必要门槛。

因此，Shamir 的秘密共享是盗窃/丢失难题的完美解决方案，因为孤立的共享本身是无用的，而 Alice 甚至可以丢失一些共享而不会失去对她的比特币的访问权限。

最初的 Shamir 方案自 1979 年以来一直存在，但仅在 2017 年底才被适当标准化以用于种子备份。该标准称为 SLIP-0039：Shamir 的助记符秘密共享，完全开放供任何人学习、分享和分享在他们的产品中实施。

基于 SLIP-39 的 Shamir 备份被 Trezor（Model T）、Unchained Capital 的 Hermit 钱包使用，其他人也开始采用该标准。

使用 Shamir Backup 进行继承规划

使 Shamir 备份在日常安全方面具有强大功能的相同品质也使其适用于继承规划。 当爱丽丝按上述方式分配她的恢复份额时，她唯一需要做的确保继任的事情就是为她的幸存者写下明确的指导。

现在这听起来很容易，但写下继承指南时应该小心谨慎。 以下是关键的注意事项：

当然，如果你在热钱包、交易账户或其他服务上有一些比特币，你也应该告诉你的幸存者。 理想情况下，您的亲人应该可以访问每一个聪，以防万一您发生什么事。

但也许最重要的一条建议是让自己站在 nocoiner 的立场上。 因为如果你的整个家庭都没有足够的橙色，如果他们感到困惑，他们很可能会犯致命的错误。 因此，请尽量清楚地了解您留下了什么以及如何安全访问它，而不会成为诈骗者、网络钓鱼企图等的牺牲品。 考虑推荐一个值得信赖的比特币朋友来帮助你的家人。 对你推荐的人要非常小心，但也要知道，如果你不向家人推荐任何人，他们可能会在互联网上联系陌生人。 即使你的朋友不会像你想象的那样证明自己值得信赖，你的家人也可以对一个认识的人有法律追索权，如果他们被陌生人骗了，情况就不是这样了。

沙米尔还是多重签名？

并非所有人都喜欢 Shamir 备份。 前段时间，詹姆森·洛普（Casa）写了一篇对所谓的 Shamir 缺点的分析，并推荐了多重签名选项。 Lopp 的分析是公平的，应该在这里解决。

首先，正如 Lopp 指出的那样，Shamir 计划用于种子备份的先前尝试确实是草率的。 不过，对于 SLIP39，情况就不同了。 该标准于 2017 年底编写，但仅在 2019 年夏天才在 Trezor 钱包中实施。在首次实际实施之前的两年内没有发现任何漏洞，随后的两年也没有发现。 没有，因为 SLIP39 背后的数学是完全正确的。 如果不是这样，几年前就会发现漏洞。

此外，Shamir 备份和多重签名解决了稍微不同的用例。 Shamir 备份解决了保护恢复种子的问题。 多签在交易时提供增强的安全性。 这两者实际上可以结合起来：你可以有一个多重签名方案，其中每个钱包的恢复种子都通过 Shamir 备份进行保护。

多重签名和 Shamir 备份都依赖于元素（签名方或 Shamir 共享）的物理远程性来确保其安全。 因此，设置和使用这两个计划非常耗时。

对于 Shamir 来说，这不是一个问题，因为您通常只需要在设置钱包时处理种子，然后在执行恢复时（这可能需要数年时间）。

对于多重签名方案，用户面临着实际的协调问题，因为当您需要签署交易时，您依赖于物理远程各方的积极、持续参与——这可能是一个月几次，如果不是更频繁的话。 虽然这对于像对冲基金或公司这样的正式组织是可行的，但对于个人来说却是完全行不通的——除非他们向提供此类服务的第三方付费。

可以通过选择多重签名设置来缓解协调问题，其中用户在自己的家中持有必要的阈值（例如 2-of-5）。 这种设置比所有密钥都物理分布的设置更实用，但消除了多重签名的优势之一——无法在胁迫下进行交易。 但公平地说，如果用户设置了她的 Trezor 并立即可用，Shamir 本身也不能防止物理攻击场景，例如家庭入侵。

在交易验证和备份整个设置方面，Multisigs 仍然存在许多陷阱。 这些有望在未来通过广泛接受的行业标准得到解决，但在此之前，它们并不能真正用于普通的、非技术的 hodlers。 Shamir 备份今天可用且实用。

—

Shamir 备份可有效防止盗窃和丢失。 它们也是一种将比特币传递给遗产的聪明方式。 除了创建 Shamir 备份本身之外，继承规划还需要为幸存者提供明确的书面说明。 Shamir 可用于多重签名或单独使用，是一种无需多个钱包即可提高安全级别的实用解决方案。

这是 Josef Tětek 的客座帖子。 表达的观点完全是他们自己的观点，不一定反映 BTC, Inc. 或 Bitcoin Magazine 的观点。

—-

原文链接：https://bitcoinmagazine.com/technical/protecting-bitcoin-shamir-backup

原文作者：Josef Tětek

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。