作者:Keystone
來源:https://blog.keyst.one/why-keystone-implemented-shamir-backups-71e319f972a6
原文出版於 2021 年 7 月。
Keystone 已經實現了 StatoshiLabs 所提出的 SLIP39“Shamir 備份” 標準,現已可以在 Keystone 硬件簽名器上使用。本文解釋了這種特性,它的優點和缺點,以及對希望嘗試這種特性的用戶的提醒。
考慮你的種子詞所面臨的威脅
在瞭解如何使用 Shamir 備份之前,我們先後退一步,瞭解一下種子詞(recovery phrase)備份會面臨哪些類型的威脅,以及,在決定要不要使用 Shamir 備份(私鑰分割方案)之前,有哪些威脅是你應該特別關注的。
基本上,有三種因素會威脅你的種子詞備份的安全性:
- 記憶丟失,如果你是把種子詞記在腦子裡的話(腦錢包亦面臨這種威脅)
- 實體備份被盜,或被搶。
- 實體備份因為意外或者說災難(比如火災和洪災)而損壞。這類情形有很多種形式,比如被家裡的小狗吃了、打翻了咖啡然後電子設備發生了故障,甚至是房屋因為地震而倒塌。
對於第一種因素,我們強烈建議,不要將記憶作為保管你的種子詞的唯一方式,因為大腦並不像你認為的那麼可靠。大腦創傷會導致失憶,衰老也會導致失憶,阿爾茨海默症會讓人記不起任何事情。自然發生的印象流逝也會隨著時間推移而扭曲記憶。
對於第二種因素,你應該記住,實施這種攻擊的可能不是陌生人,而是熟人,比如你的一個親戚,或者你請求幫你保管種子詞的人。因此,你必須先考慮對方的誠信,才能將你的種子詞託付給 TA 。
對於第三種因素,一種非常常見的解決方案是複製多份種子詞,分散保存在多個地方,以避免單點故障。但要記住,複製本身就增加了來自第二種因素的風險。這篇文章用一些簡單的數學計算了相關的概率。
為了實現比簡單複製更好的解決方案,我們引入了 Shamir 備份。
什麼是 “Shamir 備份”?
“Shamir 備份” 讓你可以將一套種子詞分割成幾部分,並且你可以指定湊齊一定數量的片段就可以復原出完整的種子詞。分割數量和閾值數量的下限和上限都分別是 2 和 16 —— 最少,你可以將一套種子詞分割成 2 份,要求湊齊這 2 個片段才能復原種子詞;最多,你可以分割成 16 份,要求湊齊 16 個片段才能復原。雖然這比多簽名錢包要複雜:在需要恢復錢包的時候,多簽名錢包的剩餘完好密鑰可以立即簽名,而 Shamir 備份需要一個單獨的導入步驟,導入足夠數量的片段、復原出種子詞才能簽名;但從安全性角度看,是一樣好的,甚至更好:如果你分割為 5 份,閾值定為 3,那麼即使你弄丟了 2 個片段,也依然能使用剩下的 3 個片段復原錢包。
Shamir 備份看起來跟多簽名錢包相似,不同的是,你指定的不是所需的簽名數量,而是復原一個錢包所需的備份(片段)的數量。這樣一來,使用 Shamir 私鑰分割方案來分散保存錢包備份就變得更加容易。
Shamir 備份的缺點
就像世間沒有無懈可擊的系統、沒有 100% 安全的方案,保管種子詞也沒有完美的解決方案。Shamir 備份也有自己的缺點。瞭解這些缺點將幫助你作出更好的決策 —— 是否要使用這種方案來保護你的種子詞。
支持的錢包有限
Keystone 的 Shamir 備份特性是對 SatoshiLabs 所提出的 SLIP39 標準的實現。截至本文撰寫之時,只有 Keystone 和 Trezor 的硬件簽名器支持這樣的實現。
這就帶來了第一個缺點 —— 如果你的 Keystone 或 Trezor 設備壞掉了,你沒法用其它簽名器來複原種子詞,你只能再買一個 Keystone 或 Trezor 簽名器。想要停用 Keystone 和 Trezor 軟件錢包、切換到其它軟件錢包的用戶,也面臨同樣的問題 —— 別的軟件錢包還不支持 Shamir 備份。目前得到廣泛採用的標準是 BIP39 種子詞備份。
(譯者注:重要的桌面端軟件錢包 Sparrow Wallet 在 2024 年 9 月發佈的 v2.0.0 版本已經開始支持 SLIP39 標準。)
複雜性是安全的敵人
有句老話說得好:複雜性是安全性的敵人。這裡的複雜性是個相對的概念,因人而異。作為硬件簽名器的開發者,我們的職責是創建友好的用戶體驗,降低用戶上手的複雜性。但如果你不能理解它是怎麼工作的,那最好不要使用它,使用你熟悉的標準復原方案。
給初試 Shamir 備份的用戶的建議
下文是給希望使用 Shamir 備份的用戶的基本建議。
熟能生巧
如前所述,雖然 Keystone 和 Trezor 已經為設定和復原 Shamir 備份創造類非常流暢的體驗,它還是有一些複雜性。所以強烈建議,在你為 Shamir 備份的錢包轉入大量比特幣之前,應該先練習它的使用。
Keystone 的 bitcoin-only 固件也支持比特幣測試網,所以你可以用測試網來練習,無需使用真正的比特幣。
定期執行健康檢查
如前所述,種子詞備份面臨的威脅模型有:(1)災難破壞;(2)盜竊。雖然 Shamir 備份相比於單純複製能夠取得好得多的平衡,但你依然需要定期執行安全檢查。
金屬好過紙
在備份你的種子詞時,你最好只使用更好的選擇。面對洪水、火患、甚至是潮溼的環境,金屬備份總是好於紙備份。
Keystone 的金屬備份板 Keystone Tablet 上設計了一個洞,你可以把它放在掛鎖上。如果你選擇了一個好的掛鎖,那就能帶來額外的安全性。相比於紙備份,金屬備份上的篡改更容易識別。
仔細挑選信得過的人
當你要把一部分 Shamir 備份片段交給別人保管時,你需要仔細挑選保管人。通常來說,最好的選擇是家人,或者受法律約束、承擔保管義務的法定代表人。(這不是一個金融和法律建議,請在為 Shamir 備份僱用合法保管人之前諮詢法律專業人士。)
在你跟家人分享備份時,請確保他們知道這個物件非常重要、應該像保管自己的秘密那樣保管它,以防止備份的丟失或意外損壞。合法保管人可能會放在自己辦公室的保險箱裡,或者,你也可以嘗試放一份在銀行的保險櫃裡。
還應該注意,託付了 Shamir 備份片段的人不應該知道其他保管人是誰,否則他們可以串通然後偷走你的錢。不要洩露保管人的身份、限制他們得到的片段的數量。
考慮繼承
在計劃使用 Shamir 備份的時候,讓你的繼承人知道如何使用它們、你在哪裡存放片段、你安排了誰來保管片段,總是明智的。這樣一來,當意外發生的時候,你可以確信,你的繼承人知道怎麼在危急情況下拿到這些錢。
結語
在 Keystone,我們總是把安全性放在第一位,並且不懈地提供更好的保管方案。我們的使命是在技術可用時提供先進的安全方案、幫助我們的用戶保護他們在互聯網上的財富。
我們也衷心感謝 SatoshiLabs 對這個行業的貢獻,並且欣賞他們以建立共同標準為先的競爭意識,這樣,同行們也能使用這樣的標準來保護每一位用戶的資金。
(完)
