Shamir Secret Sharing für Seed-Phrasen: Teilen Sie Ihr Backup in Anteile auf (SLIP-39)
— By Tony Rabbit in Tutorials

Erfahren Sie, wie ein Shamir Secret Sharing Seed-Phrasen-Backup Ihre Wallet-Wiederherstellung in N Anteile aufteilt, wobei beliebige M sie rekonstruieren und so einzelne Fehlerquellen mit SLIP-39 beseitigen.
Ein Shamir Secret Sharing Seed-Phrasen-Backup teilt Ihr Wallet-Wiederherstellungsgeheimnis in mehrere separate Anteile auf, wobei jede gewählte Untermenge (zum Beispiel 3 von 5) das Original wiederherstellt, aber weniger als das überhaupt nichts preisgibt. Shamir Secret Sharing (SSS) ist ein mathematisch fundiertes Schwellenwertschema, das 1979 vom Kryptographen Adi Shamir veröffentlicht wurde, und SLIP-39 ist der Standard, der es auf Krypto-Wallets anwendet. Anstelle eines einzigen fragilen Backups, das verloren, gestohlen oder zerstört werden kann, erhalten Sie gleichzeitig Redundanz und Diebstahlschutz. Dieser Leitfaden erklärt, warum naives Zerteilen gefährlich ist, wie die Schwellenwertmathematik funktioniert, wie man ein Layout wählt und wie man es auf einem Trezor durchführt.
Wichtige Erkenntnisse
- SSS ist ein Schwellenwertschema: beliebige M von N Anteilen stellen die Wallet wieder her, weniger als M geben nichts preis.
- Das manuelle Aufteilen einer 24-Wörter-Phrase in Drittel ist unsicher, da jeder Teil echte Entropie preisgibt.
- SLIP-39 ist der offene Standard, der SSS für Hardware-Wallets wie Trezor implementiert.
- Die Wahl des Schwellenwerts (2-von-3 vs. 3-von-5) wägt Bequemlichkeit gegen Diebstahlschutz ab.
- SSS ist unabhängig von Ihrem Speichermedium, Sie wählen weiterhin Papier oder Metall für jeden Anteil.
Warum das naive Aufteilen einer 24-Wörter-Phrase in Drittel unsicher ist
Die intuitive Idee ist, Ihre 24-Wörter-Seed-Phrase auf drei Karten, jeweils acht Wörter, zu schreiben und diese getrennt zu verstecken. Dies ist einer der gefährlichsten Fehler bei der Selbstverwahrung und scheitert an beiden Enden des Sicherheitskompromisses.
Erstens, es leckt Entropie. Ein 24-Wörter-BIP-39-Seed kodiert 256 Bit Zufälligkeit. Wenn ein Angreifer nur eine Ihrer drei Karten findet, hat er nicht ein Drittel von nichts gelernt, sondern konkrete acht Wörter an bekannten Positionen. Das reduziert den verbleibenden Suchraum dramatisch. Mit zwei von drei Karten ist das Brute-Forcing des fehlenden Drittels für motivierte Angreifer gut erreichbar. Die Teile sind keine undurchsichtigen Stücke; sie sind Klartextfragmente Ihres Schlüssels.
Zweitens, es hat keine echte Redundanz. Verlieren Sie eine einzige Karte, ist der Seed für immer verloren, da Sie alle drei Teile benötigen, um die Phrase zu rekonstruieren. Sie haben also gleichzeitig das Diebstahlrisiko erhöht und die gleiche Anfälligkeit für einen Single Point of Failure beibehalten, der Sie entkommen wollten. Wenn Sie eine Auffrischung wünschen, warum die Wiederherstellungsphrase so wichtig ist, lesen Sie unseren Leitfaden unter wie man eine Krypto-Wallet aus einer Seed-Phrase wiederherstellt.
Wie SLIP-39 und Shamir Secret Sharing einen Seed in M-von-N Anteile aufteilen
Shamir Secret Sharing löst beide Probleme mit Mathematik statt mit Scheren. Das Geheimnis wird als Punkt auf einer Polynomkurve über einem endlichen Körper kodiert. Um eine Kurve zu definieren, die M Punkte zur Lösung benötigt, zieht das Schema N Punkte daraus und gibt jedem Anteilseigner einen. Beliebige M Punkte bestimmen die Kurve und damit das Geheimnis eindeutig. Mit M-1 Punkten ist die Kurve vollständig unbestimmt, sodass jedes mögliche Geheimnis gleich wahrscheinlich bleibt. Die übrig gebliebenen Anteile geben genau null Informationen preis.
Dies ist der entscheidende Unterschied zum Zerteilen. Ein SLIP-39-Anteil ist kein Ausschnitt Ihrer Wörter. Jeder Anteil ist ein eigenes 20-Wörter- oder 33-Wörter-Mnemonic, das für sich genommen kryptographisches Rauschen ist. Das Halten von zwei Anteilen einer 3-von-5-Konfiguration verrät einem Angreifer nichts Nützliches über die Wallet. Das macht das Schema zu einem echten Entferner von Single Points of Failure und nicht zu einem Haftungsmultiplikator. SLIP-39 (SatoshiLabs Improvement Proposal 39) ist der offene Standard, der dies für Wallets verpackt, komplett mit Prüfsummen, Passphrasen-Unterstützung und einer dedizierten Wortliste.
Einen Schwellenwert wählen: 2-von-3 vs. 3-von-5 und Speichergeographie
Die Wahl von M und N ist eine Risikomanagement-Entscheidung, keine technische. Zwei Zahlen definieren alles: M ist die Anzahl der Anteile, die Sie zur Wiederherstellung benötigen, und N minus M ist die Anzahl der Anteile, die Sie sich leisten können zu verlieren. Die Lücke zwischen M und N ist Ihr Redundanzbudget.
Ein 2-von-3-Layout ist der beliebte Ausgangspunkt. Sie können einen Anteil verlieren und trotzdem wiederherstellen, und ein Angreifer benötigt zwei Ihrer drei Standorte, um Gelder zu stehlen. Ein 3-von-5-Layout ist robuster: Sie tolerieren zwei verlorene Anteile, und ein Angreifer muss drei von fünf Standorten kompromittieren. Höhere Schwellenwerte erhöhen den Diebstahlschutz, erhöhen aber auch die Wahrscheinlichkeit, dass Sie nicht genügend Anteile sammeln können, wenn Sie sie tatsächlich benötigen.
Die Speichergeographie ist ebenso wichtig wie die Zahlen. Anteile, die in derselben Schublade aufbewahrt werden, bieten Redundanz gegen eine einzelne beschädigte Kopie, aber keine gegen einen Hausbrand oder Einbruch. Verteilen Sie die Anteile auf verschiedene Vertrauensbereiche: einen Haustresor, ein Bankschließfach, einen vertrauenswürdigen Verwandten, eine zweite Immobilie. Kombinieren Sie dies mit unserem Rat zum sicheren Speichern einer Seed-Phrase auf Papier versus Metall, denn SSS entscheidet, wie das Geheimnis aufgeteilt wird, nicht, auf welchem Material jeder Anteil eingraviert ist. Für die Nachlassplanung ist die Verteilung von Anteilen an Erben auch in unserem Leitfaden was mit Ihrer Krypto passiert, wenn Sie sterben behandelt.
Trezor SLIP-39 Anleitung
Trezor Hardware-Wallets implementieren SLIP-39 nativ unter dem Namen Shamir Backup, verfügbar auf Trezor Model T und Safe Series Geräten. SatoshiLabs hat den Standard verfasst, daher ist der On-Device-Flow erstklassig. Hier ist der typische Weg mit der Trezor Suite App:
- Starten Sie eine neue Wallet-Einrichtung auf dem Gerät und wählen Sie Shamir Backup anstelle einer einzelnen Wiederherstellungsphrase. Bestehende Single-Seed-Wallets können nicht direkt konvertiert werden; Sie erstellen eine neue Wallet und verschieben Gelder.
- Legen Sie die Gesamtzahl der Anteile (N) und den Schwellenwert (M) auf dem Gerätebildschirm fest. Die Hardware erzwingt die Regeln, sodass Sie keine unmögliche Kombination wählen können.
- Das Gerät zeigt jeden 20-Wörter-Anteil einzeln an. Schreiben Sie jeden Anteil auf eine eigene Backup-Karte oder Metallplatte und beschriften Sie ihn deutlich, zum Beispiel "Anteil 1 von 5".
- Das Gerät fordert Sie auf, einige Wörter aus jedem Anteil zu bestätigen, damit es weiß, dass die Transkription korrekt ist, bevor Sie fertig sind.
- Verteilen Sie die Anteile an die von Ihnen gewählten Orte. Um später wiederherzustellen, geben Sie beliebige M Anteile in ein Trezor-Gerät ein, das das Master-Geheimnis nur auf dem Gerät rekonstruiert.
Da die Rekonstruktion innerhalb des sicheren Elements stattfindet, existiert das vollständige Geheimnis niemals auf einem mit dem Internet verbundenen Computer. Wenn Sie noch Hardware auswählen, vergleichen Sie Optionen in unserem Vergleich der besten Cold Wallets.
Fehlermodi: verlorene Anteile, zu hoch eingestellte Schwellenwerte und menschliches Versagen
SSS beseitigt Single Points of Failure, führt aber neue Wege ein, sich selbst auszuschließen, wenn man unvorsichtig ist. Der häufigste Fehler ist das zu hohe Einstellen des Schwellenwerts im Verhältnis dazu, wie zuverlässig Sie Anteile speichern können. Ein 4-von-4-Schema hat überhaupt keine Redundanz; es ist streng genommen schlechter als ein einzelnes Backup, da nun jeder einzelne von vier Verlusten fatal ist. Halten Sie N immer größer als M.
Der spiegelbildliche Fehler ist der Verlust von mehr als N minus M Anteilen. In einer 3-von-5-Konfiguration ist der Verlust von drei Anteilen nicht wiederherstellbar. Überprüfen Sie Ihre Anteile regelmäßig und ersetzen Sie alle, die beschädigt, unleserlich sind oder deren Inhaber Sie nicht mehr vertrauen. Das Mischen von Anteilen aus zwei verschiedenen Wallets oder aus zwei verschiedenen SSS-Sitzungen derselben Wallet schlägt ebenfalls fehl, da Anteile nur innerhalb des Satzes kombiniert werden, in dem sie gemeinsam generiert wurden.
Behandeln Sie schließlich jeden einzelnen Anteil mit der gleichen Sorgfalt wie einen vollständigen Seed im Transit. Während eine Anzahl von Anteilen unterhalb des Schwellenwerts nichts preisgibt, ist eine SLIP-39-Passphrase (falls Sie eine festgelegt haben) das eine Element, das vollständig separat erinnert oder gespeichert werden muss, niemals zusammen mit den Anteilen. Für umfassendere Gewohnheiten der operativen Sicherheit siehe unseren Leitfaden unter wie man Krypto vor Hackern schützt.
Dieser Artikel dient ausschließlich Bildungszwecken und stellt keine Finanzberatung dar.