Shamir Secret Sharing para Frases Semente: Divida Seu Backup em Partes (SLIP-39)
— By Tony Rabbit in Tutorials

Aprenda como um backup de frase semente com Shamir Secret Sharing divide a recuperação da sua carteira em N partes, onde qualquer M a reconstrói, removendo pontos únicos de falha com SLIP-39.
Um backup de frase semente com Shamir secret sharing divide o segredo de recuperação da sua carteira em várias partes separadas, onde qualquer subconjunto escolhido (por exemplo, 3 de 5) reconstrói o original, mas menos do que isso não revela absolutamente nada. Shamir Secret Sharing (SSS) é um esquema de limiar com base matemática publicado pelo criptógrafo Adi Shamir em 1979, e SLIP-39 é o padrão que o aplica a carteiras de criptomoedas. Em vez de um backup frágil que pode ser perdido, roubado ou destruído, você obtém redundância e resistência a roubos ao mesmo tempo. Este guia explica por que o corte ingênuo é perigoso, como funciona a matemática do limiar, como escolher um layout e como fazê-lo em uma Trezor.
Principais Pontos
- SSS é um esquema de limiar: qualquer M de N partes recupera a carteira, menos de M não revela nada.
- Dividir manualmente uma frase de 24 palavras em terços é inseguro porque cada pedaço vaza entropia real.
- SLIP-39 é o padrão aberto que implementa SSS para carteiras de hardware como a Trezor.
- A escolha do limiar (2 de 3 vs 3 de 5) troca conveniência por resistência a roubos.
- SSS é independente do seu meio de armazenamento, você ainda escolhe papel ou metal para cada parte.
Por que dividir ingenuamente uma frase de 24 palavras em terços é inseguro
A ideia intuitiva é escrever sua frase semente de 24 palavras em três cartões, oito palavras em cada, e escondê-los separadamente. Este é um dos erros mais perigosos na autocustódia, e falha em ambas as extremidades da troca de segurança.
Primeiro, vaza entropia. Uma semente BIP-39 de 24 palavras codifica 256 bits de aleatoriedade. Se um atacante encontrar apenas um dos seus três cartões, ele não aprendeu um terço de nada, ele aprendeu oito palavras concretas em posições conhecidas. Isso colapsa drasticamente o espaço de busca restante. Com dois cartões de três, a força bruta para o terço que falta está ao alcance de atacantes motivados. Os pedaços não são peças opacas; são fragmentos de texto simples da sua chave.
Segundo, não tem redundância real. Perca qualquer cartão e a semente se foi para sempre, porque você precisa de todos os três pedaços para reconstruir a frase. Assim, você aumentou simultaneamente o risco de roubo e manteve a mesma fragilidade de ponto único de falha da qual estava tentando escapar. Se você quiser um lembrete sobre por que a frase de recuperação é tão importante, consulte nosso guia sobre como recuperar uma carteira de criptomoedas de uma frase semente.
Como SLIP-39 e Shamir secret sharing dividem uma semente em M de N partes
Shamir Secret Sharing resolve ambos os problemas com matemática em vez de tesouras. O segredo é codificado como um ponto em uma curva polinomial sobre um campo finito. Para definir uma curva que requer M pontos para resolver, o esquema extrai N pontos dela e entrega um a cada acionista. Quaisquer M pontos determinam unicamente a curva e, portanto, o segredo. Com M-1 pontos, a curva é completamente indeterminada, então todo segredo possível permanece igualmente provável. As partes restantes revelam exatamente zero informações.
Esta é a diferença crucial em relação ao corte. Uma parte SLIP-39 não é uma fatia das suas palavras. Cada parte é sua própria mnemônica de 20 ou 33 palavras que, por si só, é ruído criptográfico. Ter duas partes de uma configuração 3 de 5 não diz a um atacante nada útil sobre a carteira. É isso que torna o esquema um verdadeiro removedor de ponto único de falha em vez de um multiplicador de responsabilidade. SLIP-39 (SatoshiLabs Improvement Proposal 39) é o padrão aberto que empacota isso para carteiras, completo com checksums, suporte a passphrase e uma lista de palavras dedicada.
Escolhendo um limiar: 2 de 3 vs 3 de 5 e geografia de armazenamento
Escolher M e N é uma decisão de gerenciamento de risco, não técnica. Dois números definem tudo: M é quantas partes você precisa para recuperar, e N menos M é quantas partes você pode se dar ao luxo de perder. A lacuna entre M e N é o seu orçamento de redundância.
Um layout 2 de 3 é o ponto de partida popular. Você pode perder uma parte e ainda recuperar, e um atacante precisa de dois dos seus três locais para roubar fundos. Um layout 3 de 5 é mais robusto: você tolera duas partes perdidas e um atacante deve comprometer três de cinco locais. Limiares mais altos aumentam a resistência a roubos, mas também aumentam a chance de você não conseguir reunir partes suficientes quando realmente precisar delas.
A geografia de armazenamento importa tanto quanto os números. Partes armazenadas na mesma gaveta oferecem redundância contra uma única cópia danificada, mas nenhuma contra um incêndio doméstico ou roubo. Espalhe as partes por domínios de confiança distintos: um cofre em casa, uma caixa de depósito bancário, um parente de confiança, uma segunda propriedade. Combine isso com nosso conselho sobre armazenar uma frase semente com segurança em papel versus metal, porque o SSS decide como o segredo é dividido, não em que material cada parte é gravada. Para planejamento patrimonial, a distribuição de partes para herdeiros também é abordada em nosso guia sobre o que acontece com suas criptomoedas quando você morre.
Passo a passo do Trezor SLIP-39
As carteiras de hardware Trezor implementam SLIP-39 nativamente sob o nome Shamir Backup, disponível nos dispositivos Trezor Model T e Safe series. A SatoshiLabs foi a autora do padrão, então o fluxo no dispositivo é de primeira classe. Aqui está o caminho típico usando o aplicativo Trezor Suite:
- Inicie uma nova configuração de carteira no dispositivo e escolha Shamir Backup em vez de uma única frase de recuperação. Carteiras existentes de semente única não podem ser convertidas no local; você cria uma nova carteira e move os fundos.
- Defina o número total de partes (N) e o limiar (M) na tela do dispositivo. O hardware impõe as regras para que você não possa escolher uma combinação impossível.
- O dispositivo exibe cada parte de 20 palavras uma de cada vez. Escreva cada parte em seu próprio cartão de backup ou placa de metal e rotule-o claramente, por exemplo, "Parte 1 de 5".
- O dispositivo solicita que você confirme algumas palavras de cada parte para saber se a transcrição está correta antes de finalizar.
- Distribua as partes para os locais escolhidos. Para recuperar mais tarde, você reintroduz quaisquer M partes em um dispositivo Trezor, que reconstrói o segredo mestre apenas no dispositivo.
Como a reconstrução acontece dentro do elemento seguro, o segredo completo nunca existe em um computador conectado à internet. Se você ainda está escolhendo hardware, compare as opções em nosso comparativo das melhores cold wallets.
Modos de falha: partes perdidas, limiares muito altos e erro humano
O SSS remove pontos únicos de falha, mas introduz novas maneiras de se trancar se você for descuidado. A falha mais comum é definir o limiar muito alto em relação à confiabilidade com que você pode armazenar as partes. Um esquema 4 de 4 não tem redundância alguma; é estritamente pior do que um único backup porque agora qualquer uma das quatro perdas é fatal. Sempre mantenha N maior que M.
A falha espelhada é perder mais do que N menos M partes. Em uma configuração 3 de 5, perder três partes é irrecuperável. Audite suas partes periodicamente e substitua qualquer uma que esteja danificada, ilegível ou cujo detentor você não confia mais. Misturar partes de duas carteiras diferentes, ou de duas sessões SSS diferentes da mesma carteira, também falhará, porque as partes só se combinam dentro do conjunto em que foram geradas juntas.
Finalmente, trate cada parte individual com o mesmo cuidado que uma semente completa em trânsito. Embora um número de partes abaixo do limiar não revele nada, uma passphrase SLIP-39 (se você definir uma) é a única peça que deve ser lembrada ou armazenada completamente separada, nunca com as partes. Para hábitos de segurança operacional mais amplos, consulte nosso guia sobre como proteger criptomoedas de hackers.
Este artigo é apenas para fins educacionais e não constitui aconselhamento financeiro.