No auge da corrida de touros de 2017, eu vim através de uma postagem preocupante. Era mais ou menos assim: havia um jovem que adquiriu cerca de 20 bitcoin no início. Como o preço passou de US $ 1.000 para quase US $ 20.000 ao longo de 2017, ele se sentiu rico além de seus sonhos e decidiu viajar um pouco. A certa altura, ele estava no México em um bom hotel e festejou perto de uma piscina na cobertura. As coisas saíram do controle, então ele caiu na rua lá embaixo e morreu. O autor desta postagem em particular era amigo da família do homem e queria descobrir se havia alguma maneira de acessar o bitcoin. No entanto, o jovem usou uma senha protegida do Trezor e não a escreveu em lugar nenhum. O bitcoin foi, portanto, perdido junto com a vida do homem.
O Bitcoin é um instrumento ao portador, o que significa que não é suficiente para seus sobreviventes estarem cientes de sua pilha-eles devem ser capazes de acessar as chaves. Por outro lado, você não quer necessariamente que sua família tenha acesso ao seu bitcoin enquanto você ainda estiver vivo. Portanto, é necessário haver algum tipo de plano de backup que permita o gerenciamento de acesso. O backup Shamir permite precisamente este caso de uso.
Mas antes de entrarmos nos detalhes de como o backup Shamir funciona, vamos fazer uma breve recapitulação do que são os backups seed.
Seed Backup
No começo humilde do Bitcoin, era um desafio fazer backups corretamente. Antes da invenção das carteiras determinísticas, era necessário fazer backup de todas as chaves privadas individuais, o que poderia ser centenas de chaves. Não é novidade que muitos bitcoins foram perdidos devido a esse processo de backup desajeitado. Em 2012, Pieter Wuille surgiu com a invenção inteligente de carteiras determinísticas hierárquicas (carteiras HD, padronizadas por BIP32 ) que tornava os backups muito mais fáceis-os usuários agora tinham que proteger apenas uma semente mestre, a partir da qual as chaves privadas individuais eram geradas. Um ano depois, BIP39 padronizou a semente mnemônica-um grupo de palavras em ordem particular que cumprem a função de backup de carteira HD. Com a semente mnemônica, os backups se tornaram muito mais fáceis, pois há pouco espaço para erro ao escrever palavras comuns, em comparação com escrever uma sequência aleatória de letras e números.
Então, hoje em dia você não volta realmente sua chave privada como tal, mas sim a semente de recuperação-geralmente na forma de 12 ou 24 palavras em uma ordem específica. Você pode perder seu telefone ou quebrar sua carteira de hardware, mas ainda poderá acessar seu bitcoin se tiver a semente de recuperação armazenada com segurança.
Armazenar a semente de recuperação com segurança é a parte complicada. Temos que proteger a semente dos dois riscos a seguir:
roubo-a semente recuperada deve ser protegida contra o uso indevido por estranhos; perda-sua riqueza de bitcoin não deve depender de uma única cópia da semente de recuperação, para que em caso de acidente (inundação, incêndio, etc.) você não perca seu bitcoin.
Embora o risco de roubo apele para o mínimo de cópias possível-de preferência apenas uma em sua casa-o risco de perda exige o oposto. Ter apenas uma cópia de sua semente de recuperação é literalmente brincar com fogo. Portanto, você precisa ter várias cópias em uma infinidade de locais físicos-mas você precisa ter certeza de que não serão mal utilizadas, mesmo se encontradas por um estranho. Uma semente de recuperação simples baseada em uma única lista de palavras não pode atender a esses critérios.
Digite Shamir
O compartilhamento secreto de Shamir (SSS) é uma técnica criptográfica formulada em 1979 pelo criptografador israelense Adi Shamir. A essência do esquema de Shamir reside na capacidade de fazer backup, compartilhar e recuperar um segredo dividindo o segredo em vários compartilhamentos que são individualmente inúteis e não vazam informações sobre o segredo ou a configuração do esquema.
Existem dois parâmetros importantes relevantes para o SSS: compartilhamentos ou quantas partes do segredo existem; e limite, ou quantos compartilhamentos precisamos combinar para recuperar o segredo.
Por exemplo, um “backup de 3 em 5 Shamir” significa que o usuário criou cinco compartilhamentos ao configurar o esquema e o requisito de limite para acessar o segredo original é de três compartilhamentos. Não importa quais três compartilhamentos são usados para recuperar o segredo.
Isso significa que Alice pode fazer backup de sua semente, por exemplo, da seguinte maneira (assumindo o backup de 3 de 5 Shamir):
duas ações em sua casa, uma parte na casa de uma amiga próxima, uma parte na casa de sua mãe, uma parte no cofre do banco
É claro que as ações individuais estão em formato analógico-escritas à mão em papel ou carimbadas em uma folha de metal (usando Cryptosteel, Cryptotag ou outras soluções semelhantes). Alice sabe que ela nunca deve anotar as ações em um computador conectado à Internet ou manter uma cópia digital.
Com esse acordo em vigor, Alice não precisa se preocupar em perder o acesso ao seu bitcoin mesmo se sua casa pegar fogo, porque ela pode recuperar o acesso a ela recolhendo as ações restantes de sua amiga, de sua mãe e do cofre. Ela também não precisa se preocupar com o roubo porque nenhum local atende ao limite necessário para acessar as moedas.
O compartilhamento do segredo de Shamir é, portanto, uma solução perfeita para o enigma do roubo/perda, já que as ações isoladas são inúteis por si mesmas, e Alice pode até perder algumas das ações sem perder o acesso a seu bitcoin.
O esquema Shamir original existe desde 1979, mas só foi devidamente padronizado para uso em backups de seed no final de 2017. O padrão é denominado SLIP-0039: Shamir’s Secret-Sharing for Mnemonic Codes e está totalmente aberto para qualquer pessoa estudar, compartilhar e implementar em seus produtos.
Backups Shamir baseados em SLIP-39 são usados por Trezor (Model T), Unchained Capital’s carteira Hermit e outros também começaram a adotar o padrão.
Planejamento de herança usando Shamir Backup
As mesmas qualidades que tornam o backup Shamir poderoso para a segurança diária também o tornam adequado para o planejamento de herança. Quando Alice tem suas ações de recuperação distribuídas conforme descrito acima, a única coisa que ela precisa fazer para garantir a sucessão é escrever uma orientação clara para seus sobreviventes.
Agora, isso pode parecer fácil, mas escrever o guia de herança deve ser feito com o devido cuidado. Aqui estão as coisas cruciais que devemos e não devemos fazer:
não diga apenas ao seu ente querido sobre o esquema Shamir, escreva-o; se você contasse apenas para alguém, provavelmente eles esqueceriam os detalhes (ou no pior dos casos, o indivíduo pode morrer junto com você em algum acidente); escreva o guia usando caneta e papel; nunca digite em seu computador, nunca guarde uma cópia digital; explique o que é o backup Shamir em primeiro lugar e por que a recuperação deve ser realizada com o máximo cuidado (por exemplo, os compartilhamentos nunca devem ser digitados em um site, nunca enviados a estranhos”Tentando ajudar”pela Internet); descreva a quantidade total de compartilhamentos, o limite e as instruções para descobrir os locais dos compartilhamentos; armazene o guia de herança em um site seguro e controlado que possa ser acessado por seus entes queridos no caso de sua morte; o seu cofre residencial pode funcionar melhor, embora o site apropriado dependa das circunstâncias individuais; não inclua o guia de herança de bitcoin em seu último testamento-isso pode colocar os sobreviventes em perigo, já que o último testamento é um documento acessível ao público em algumas jurisdições ; atualize o guia de herança caso algo mude (por exemplo, a localização das ações);
E, claro, se você tem algum bitcoin em carteiras quentes, contas de câmbio ou outros serviços, você deve informar seus sobreviventes sobre isso também. O ideal é que cada satoshi esteja acessível para seus entes queridos, caso algo aconteça com você.
Mas talvez o conselho mais importante seja se colocar no lugar de um nocoiner. Porque se toda a sua família não é suficientemente laranja, é provável que cometerão erros fatais se ficarem confusos. Portanto, tente ser o mais claro possível sobre o que você deixou para trás e como acessá-lo com segurança, sem cair na armadilha de golpistas, tentativas de phishing e assim por diante. Considere recomendar um amigo bitcoiner de confiança para ajudar sua família. Tenha muito cuidado com quem você recomenda, mas saiba também que se você não recomendar ninguém para sua família, eles podem entrar em contato com estranhos na internet. E mesmo que seu amigo não se mostre tão confiável quanto você pensava, sua família terá recursos legais contra uma pessoa conhecida, o que não seria o caso se eles fossem enganados por um estranho.
Shamir ou Multisig?
Nem todo mundo é fã dos backups Shamir. Algum tempo atrás, Jameson Lopp (Casa) escreveu uma análise das supostas deficiências de Shamir e opções multisig recomendadas em vez disso. A análise de Lopp é justa e deve ser abordada aqui.
Em primeiro lugar, é verdade que as tentativas anteriores do esquema de Shamir para uso em backups de seed foram desleixadas, como Lopp apontou. É uma questão diferente com SLIP39, no entanto. O padrão foi escrito no final de 2017, mas implementado na carteira Trezor apenas no verão de 2019. Nenhuma vulnerabilidade foi encontrada nos dois anos anteriores à primeira implementação no mundo real, nem nos dois anos seguintes. E não há nenhum, já que a matemática por trás do SLIP39 é simplesmente correta. Se não fosse, uma vulnerabilidade teria sido encontrada anos atrás.
Além disso, os backups Shamir e multisigs resolvem um caso de uso ligeiramente diferente. Os backups Shamir resolvem o problema de proteção da semente de recuperação. Multisigs oferecem segurança aprimorada durante as transações. Na verdade, os dois podem ser combinados: você pode ter um esquema multisig, em que a semente de recuperação de cada carteira individual é protegida por meio de backups Shamir.
Ambos os backups multisig e Shamir dependem da distância física dos elementos (partes signatárias ou ações Shamir) para sua segurança. Configurar e usar os dois planos consome muito tempo.
Para Shamir, isso não é um problema, já que você geralmente precisa lidar com sua semente apenas ao configurar sua carteira e, mais tarde, ao realizar uma recuperação (que pode levar anos).
Para esquemas multisig, os usuários enfrentam um problema prático de coordenação, pois você depende da participação ativa e contínua de partes fisicamente remotas sempre que precisar assinar transações-o que pode ser várias vezes por mês, se não com mais frequência. Embora isso seja viável para organizações formais como fundos de hedge ou corporações, é bastante impraticável para indivíduos-a menos que eles paguem um terceiro que oferece esse serviço como seu negócio.
O problema de coordenação pode ser atenuado escolhendo uma configuração multisig onde os usuários mantenham o limite necessário (por exemplo, 2 de 5) em suas próprias casas. Essa configuração é mais prática do que aquela em que todas as chaves são fisicamente distribuídas, mas elimina uma das vantagens dos multisigs-a incapacidade de realizar transações sob coação. Mas para ser justo, Shamir por si só também não protege contra cenários de ataque físico, como invasão de casa, se o usuário tiver seu Trezor configurado e imediatamente disponível.
Multisigs ainda têm muitos armadilhas quando se trata de verificação de transação e backup de toda a configuração. Esperançosamente, isso será resolvido com padrões amplamente aceitos da indústria no futuro, mas até que isso aconteça, eles não serão realmente utilizáveis para hodlers comuns e não técnicos. Os backups Shamir são utilizáveis e práticos hoje em dia.
—
Os backups Shamir são eficazes na prevenção de roubo e perda. Eles também são uma maneira inteligente de passar o bitcoin para herança. Além de criar o próprio backup Shamir, o planejamento de herança requer instruções claras por escrito para os sobreviventes. Shamir pode ser usado em um multisig ou sozinho e é uma solução prática para aumentar o nível de segurança sem a necessidade de várias carteiras.
Esta é uma postagem de Josef Tětek. As opiniões expressas são inteiramente próprias e não refletem necessariamente as da BTC, Inc. ou da Bitcoin Magazine.
