Tác giả: Keystone
Nguồn: https://blog.keyst.one/why-keystone-implemented-shamir-backups-71e319f972a6
Bài viết gốc được xuất bản vào tháng 7 năm 2021.
Keystone đã triển khai tiêu chuẩn SLIP39 "Shamir backup" do StatoshiLabs đề xuất, hiện đã có sẵn trên các thiết bị phần cứng Keystone. Bài viết này giải thích tính năng này, ưu và nhược điểm của nó, cùng một số lưu ý dành cho người dùng muốn dùng thử.
Hãy xem xét các mối đe dọa đối với từ hạt giống của bạn
Trước khi tìm hiểu cách sử dụng bản sao lưu Shamir, hãy cùng tìm hiểu các loại mối đe dọa mà bản sao lưu cụm từ phục hồi phải đối mặt và những mối đe dọa nào bạn nên đặc biệt quan tâm trước khi quyết định có nên sử dụng bản sao lưu Shamir (giải pháp tách private key) hay không.
Về cơ bản, có ba yếu tố đe dọa đến tính bảo mật của bản sao lưu hạt giống của bạn:
- Mất trí nhớ nếu bạn ghi nhớ những từ ngữ gốc trong đầu (ví não cũng có nguy cơ)
- Bản sao lưu vật lý đã bị đánh cắp hoặc cướp.
- Bản sao lưu vật lý bị phá hủy do tai nạn hoặc thảm họa như hỏa hoạn và lũ lụt. Điều này có thể xảy ra dưới nhiều hình thức, chẳng hạn như chó cắn bản sao lưu, làm đổ cà phê khiến thiết bị điện tử bị hỏng, hoặc thậm chí là nhà sập trong trận động đất.
Đối với yếu tố đầu tiên, chúng tôi đặc biệt khuyên bạn không nên dựa vào trí nhớ như cách duy nhất để lưu giữ những từ gốc, vì não bộ không đáng tin cậy như bạn cho rằng. Chấn thương não có thể gây mất trí nhớ, lão hóa cũng có thể gây mất trí nhớ, và bệnh Alzheimer có thể khiến người ta không thể nhớ bất cứ điều gì. Những sai sót về ấn tượng tự nhiên cũng có thể làm sai lệch trí nhớ theo thời gian.
Đối với yếu tố thứ hai, bạn nên nhớ rằng người thực hiện cuộc tấn công này có thể không phải là người lạ, mà là người quen, chẳng hạn như người thân hoặc người mà bạn nhờ giữ hộ seed word. Do đó, trước tiên bạn phải cân nhắc đến sự chính trực của đối phương trước khi giao seed word cho họ.
Một giải pháp rất phổ biến cho yếu tố thứ ba là tạo nhiều bản sao của các từ gốc và lưu trữ chúng ở nhiều nơi để tránh một điểm lỗi duy nhất. Tuy nhiên, hãy nhớ rằng bản thân việc sao chép cũng làm tăng rủi ro từ yếu tố thứ hai. Bài viết này tính toán các xác suất liên quan bằng một số phép toán đơn giản.
Để có được giải pháp tốt hơn so với phương pháp sao chép đơn giản, chúng tôi đã giới thiệu giải pháp sao lưu Shamir.
Shamir Backup là gì?
"Sao lưu Shamir" cho phép bạn chia một tập hợp các từ hạt giống thành nhiều phần và bạn có thể chỉ định một số lượng mảnh nhất định để khôi phục các từ hạt giống hoàn chỉnh. Giới hạn dưới và trên của số lần chia và số ngưỡng lần lượt là 2 và 16 - tối thiểu, bạn có thể chia một tập hợp các từ hạt giống thành 2 phần và cần hai mảnh để khôi phục các từ hạt giống; tối đa, bạn có thể chia nó thành 16 phần và cần 16 mảnh để khôi phục. Mặc dù điều này phức tạp hơn so với ví đa chữ ký: khi ví cần được khôi phục, các khóa còn nguyên vẹn còn lại của ví đa chữ ký có thể được ký ngay lập tức, trong khi sao lưu Shamir yêu cầu một bước nhập riêng để nhập một số lượng mảnh đủ và khôi phục các từ hạt giống trước khi ký; nhưng về mặt bảo mật, nó cũng tốt như vậy, thậm chí còn tốt hơn: nếu bạn chia nó thành 5 phần và đặt ngưỡng là 3, thì ngay cả khi bạn mất 2 mảnh, bạn vẫn có thể sử dụng 3 mảnh còn lại để khôi phục ví.
Bản sao lưu Shamir trông tương tự như ví đa chữ ký, ngoại trừ việc thay vì chỉ định số lượng chữ ký cần thiết, bạn chỉ định số lượng bản sao lưu (phân mảnh) cần thiết để khôi phục ví. Điều này giúp phân phối bản sao lưu ví dễ dàng hơn bằng cách sử dụng sơ đồ chia tách private key Shamir.
Nhược điểm của Shamir Backup
Cũng giống như không có hệ thống hoàn hảo hay giải pháp an toàn 100%, không có giải pháp nào hoàn hảo để lưu trữ từ khóa hạt giống của bạn. Sao lưu Shamir cũng có những hạn chế riêng. Hiểu rõ những hạn chế này sẽ giúp bạn đưa ra quyết định tốt hơn - có nên sử dụng giải pháp này để bảo vệ từ khóa hạt giống của mình hay không.
Hỗ trợ ví hạn chế
Tính năng sao lưu Shamir của Keystone là một triển khai của tiêu chuẩn SLIP39 do SatoshiLabs đề xuất . Tính đến thời điểm viết bài này, chỉ có các thiết bị ký phần cứng của Keystone và Trezor hỗ trợ triển khai này.
Điều này dẫn đến nhược điểm đầu tiên - nếu thiết bị Keystone hoặc Trezor của bạn bị hỏng, bạn không thể sử dụng thiết bị ký khác để khôi phục từ khóa hạt giống, bạn chỉ có thể mua thiết bị ký Keystone hoặc Trezor khác. Người dùng muốn hủy kích hoạt ví phần mềm Keystone và Trezor và chuyển sang ví phần mềm khác cũng gặp phải vấn đề tương tự - các ví phần mềm khác không hỗ trợ sao lưu Shamir. Tiêu chuẩn hiện đang được áp dụng rộng rãi là sao lưu từ khóa hạt giống BIP39.
(Ghi chú của người dịch: Ví phần mềm máy tính quan trọng Sparrow Wallet đã bắt đầu hỗ trợ tiêu chuẩn SLIP39 trong phiên bản v2.0.0 phát hành vào tháng 9 năm 2024.)
Sự phức tạp là kẻ thù của an ninh
Có một câu nói cũ: Độ phức tạp là kẻ thù của bảo mật. Độ phức tạp ở đây là một khái niệm tương đối và khác nhau tùy từng người. Là nhà phát triển chữ ký phần cứng, trách nhiệm của chúng tôi là tạo ra trải nghiệm người dùng thân thiện và giảm thiểu sự phức tạp khi người dùng bắt đầu. Tuy nhiên, nếu bạn không hiểu cách thức hoạt động của nó, tốt nhất là không nên sử dụng và hãy sử dụng giải pháp khôi phục tiêu chuẩn mà bạn đã quen thuộc.
Mẹo dành cho người dùng mới sử dụng Shamir Backup
Sau đây là những khuyến nghị cơ bản dành cho người dùng muốn sử dụng Shamir Backup.
Thực hành tạo nên sự hoàn hảo
Như đã đề cập trước đó, mặc dù Keystone và Trezor đã tạo ra trải nghiệm rất mượt mà để thiết lập và khôi phục bản sao lưu Shamir, nhưng chúng vẫn có một số phức tạp, do đó, bạn nên thực hành sử dụng trước khi chuyển lượng lớn Bitcoin vào ví sao lưu Shamir của mình.
Phần mềm dành riêng cho bitcoin của Keystone cũng hỗ trợ mạng thử nghiệm Bitcoin , do đó bạn có thể thực hành với mạng thử nghiệm mà không cần sử dụng Bitcoin thật.
Thực hiện kiểm tra sức khỏe định kì
Như đã đề cập ở trên, các mô hình đe dọa mà sao lưu từ khóa hạt giống phải đối mặt là: (1) thiệt hại do thiên tai; (2) trộm cắp. Mặc dù sao lưu Shamir có thể đạt được sự cân bằng tốt hơn nhiều so với sao chép đơn giản, bạn vẫn cần thực hiện kiểm tra bảo mật định kì.
Kim loại tốt hơn giấy
Khi sao lưu từ khóa, bạn chỉ nên sử dụng các lựa chọn tốt hơn. Sao lưu bằng kim loại luôn tốt hơn sao lưu bằng giấy đối diện lũ lụt, hỏa hoạn và thậm chí là hoàn cảnh ẩm ướt.
Tấm kim loại dự phòng của Keystone. Máy tính bảng Keystone có một lỗ để bạn có thể đặt ổ khóa vào. Nếu bạn chọn một ổ khóa tốt, nó có thể tăng cường bảo mật. Việc can thiệp vào tấm kim loại dự phòng dễ bị phát hiện hơn so với việc sử dụng giấy dự phòng.
Hãy lựa chọn những người đáng tin cậy một cách cẩn thận
Khi bạn quyết định giao phó một phần dữ liệu sao lưu Shamir của mình cho người khác lưu giữ, bạn cần lựa chọn người giám hộ cẩn thận. Nhìn chung, lựa chọn tốt nhất là một thành viên gia đình hoặc một đại diện pháp lý có nghĩa vụ pháp lý phải đảm nhận nghĩa vụ lưu giữ. (Đây không phải là tư vấn tài chính hoặc pháp lý, vui lòng tham khảo ý kiến chuyên gia pháp lý trước khi thuê người giám hộ hợp pháp cho dữ liệu sao lưu Shamir của bạn.)
Khi chia sẻ bản sao lưu với người thân, hãy đảm bảo họ biết rằng tài liệu này rất quan trọng và cần được giữ bí mật để tránh mất mát hoặc hư hỏng bản sao lưu. Người giám hộ hợp pháp có thể giữ bản sao lưu trong két sắt tại văn phòng của họ, hoặc bạn có thể thử gửi một bản sao vào két sắt ngân hàng.
Cũng cần lưu ý rằng người được Shamir giao phó các clip sao lưu không nên biết những người giám hộ khác là ai, nếu không họ có thể thông đồng và đánh cắp tiền của bạn. Không tiết lộ danh tính của người giám hộ và hạn chế số lượng clip họ nhận được.
Hãy xem xét sự thừa kế
Khi dự định sử dụng bản sao lưu Shamir, bạn nên cho người thừa kế biết cách sử dụng, nơi bạn lưu trữ các clip và người được bạn sắp xếp để giữ chúng. Bằng cách đó, nếu có sự cố bất ngờ xảy ra, bạn có thể chắc chắn rằng người thừa kế của mình biết cách lấy tiền trong trường hợp khẩn cấp.
Phần kết luận
Tại Keystone, chúng tôi luôn đặt vấn đề bảo mật lên hàng đầu và không ngừng nỗ lực để cung cấp các giải pháp lưu ký tốt hơn. Sứ mệnh của chúng tôi là cung cấp các giải pháp bảo mật tiên tiến khi công nghệ hiện hữu, giúp người dùng bảo vệ tài sản của họ trên Internet.
Chúng tôi cũng chân thành cảm ơn SatoshiLabs vì những đóng góp của họ cho ngành và đánh giá cao tinh thần cạnh tranh của họ trong việc thiết lập các tiêu chuẩn chung để các đồng nghiệp của họ có thể sử dụng các tiêu chuẩn đó để bảo vệ tiền của mọi người.
(qua)
