Schutz Ihres HODL-Vermächtnisses: Shamir-Backups und Vererbungsplanung

0

Auf dem Höhepunkt des Bullenlaufs 2017 stieß ich auf einen ernüchternden Beitrag. Es ging ungefähr so: Es gab einen jungen Mann, der schon früh etwa 20 Bitcoin erwarb. Als der Preis im Laufe des Jahres 2017 von 1.000 US-Dollar auf fast 20.000 US-Dollar stieg, fühlte er sich über seine kühnsten Träume hinaus reich und beschloss, ein wenig zu reisen. Irgendwann war er in Mexiko in einem schönen Hotel und feierte am Dachpool. Die Dinge gerieten außer Kontrolle, dann fiel er unten auf die Straße und starb. Der Autor dieses speziellen Beitrags war ein Freund der Familie des Mannes und wollte herausfinden, ob es eine Möglichkeit gibt, auf die Bitcoin zuzugreifen. Der junge Mann benutzte jedoch einen passphrasengeschützten Trezor und hatte die Passphrase nirgendwo aufgeschrieben. Die Bitcoin ging somit zusammen mit dem Leben des Mannes verloren.

Bitcoin ist ein Inhaberinstrument, was bedeutet, dass es nicht ausreicht, dass Ihre Überlebenden Ihren Stack kennen – sie müssen auf die Schlüssel zugreifen können. Auf der anderen Seite möchten Sie nicht unbedingt, dass Ihre Familie zu Lebzeiten Zugriff auf Ihre Bitcoins hat. Es muss also eine Art Backup-Plan geben, der die Zugriffsverwaltung ermöglicht. Shamir Backup ermöglicht genau diesen Anwendungsfall.

Aber bevor wir zu den Details der Funktionsweise von Shamir-Backups kommen, lassen Sie uns kurz zusammenfassen, was Seed-Backups sind.

Seed-Backup

In den bescheidenen Anfängen von Bitcoin war es eine Herausforderung, Backups richtig durchzuführen. Vor der Erfindung deterministischer Wallets mussten alle einzelnen privaten Schlüssel, die Hunderte von Schlüsseln sein können, gesichert werden. Es überrascht nicht, dass viele Bitcoins aufgrund dieses klobigen Backup-Prozesses verloren gingen. Pieter Wuille hatte 2012 die clevere Erfindung von Hierarchical Deterministic Wallets (HD-Wallets, standardisiert durch BIP32) erfunden, die Backups deutlich einfacher machten – Nutzer mussten sich nun nur noch einen Master-Seed sichern, aus dem dann die individuellen Private Keys generiert wurden. Ein Jahr später standardisierte BIP39 den mnemonischen Seed – eine Gruppe von Wörtern in besonderer Reihenfolge, die die Rolle des HD-Wallet-Backups erfüllen. Mit mnemonischem Seed wurden Backups viel einfacher, da beim Aufschreiben gewöhnlicher Wörter im Vergleich zum Aufschreiben einer zufälligen Folge von Buchstaben und Zahlen kaum Fehler möglich sind.

Heutzutage sichern Sie also nicht wirklich Ihren privaten Schlüssel als solchen, sondern den Recovery-Seed – normalerweise in Form von 12 oder 24 Wörtern in einer bestimmten Reihenfolge. Sie können Ihr Telefon verlieren oder Ihre Hardware-Wallet beschädigen, aber Sie können weiterhin auf Ihre Bitcoins zugreifen, wenn Sie den Recovery-Seed sicher verwahrt haben.

Die sichere Aufbewahrung des Recovery Seeds ist der schwierige Teil. Wir müssen das Saatgut vor den folgenden zwei Risiken schützen:

  • Diebstahl – das Recovery Seed muss vor Missbrauch durch Fremde geschützt werden;
  • Verlust – Ihr Bitcoin-Vermögen sollte nicht von einer einzigen Kopie des Recovery-Seeds abhängen, damit Sie im Falle eines Unfalls (Überschwemmung, Feuer usw.) Ihre Bitcoin nicht verlieren.

Während das Diebstahlrisiko möglichst wenige Kopien erfordert – am besten nur eine bei Ihnen zu Hause –, erfordert das Verlustrisiko das Gegenteil. Nur eine Kopie Ihres Recovery-Seeds zu haben, ist buchstäblich ein Spiel mit dem Feuer. Sie müssen also mehrere Kopien an einer Vielzahl von physischen Orten haben – aber Sie müssen sicherstellen, dass diese nicht missbraucht werden, selbst wenn sie von einem Fremden gefunden werden. Ein einfacher Recovery-Seed, der auf einer Einzelwortliste basiert, kann diese Kriterien nicht erfüllen.

Betreten Sie Shamir

Shamirs Secret Sharing (SSS) ist eine kryptografische Technik, die 1979 vom israelischen Kryptografen Adi Shamir entwickelt wurde. Die Essenz von Shamirs Schema liegt in der Fähigkeit, ein Geheimnis zu sichern, zu teilen und wiederherzustellen, indem das Geheimnis in mehrere Shares aufgeteilt wird, die einzeln nutzlos sind und keine Informationen über das Geheimnis oder die Einrichtung des Schemas preisgeben.

Es gibt zwei wichtige Parameter, die für SSS relevant sind: Shares oder wie viele Teile des Geheimnisses es gibt; und Schwellenwert, oder wie viele Aktien wir kombinieren müssen, um das Geheimnis wiederzugewinnen.

Ein „3 aus 5 Shamir-Backup“ bedeutet beispielsweise, dass der Benutzer beim Einrichten des Schemas fünf Freigaben erstellt hat und die Schwellenanforderung für den Zugriff auf das ursprüngliche Geheimnis drei Freigaben beträgt. Es spielt keine Rolle, welche drei Freigaben verwendet werden, um das Geheimnis wiederherzustellen.

Dies bedeutet, dass Alice ihren Seed beispielsweise auf folgende Weise sichern kann (unter der Annahme von 3 von 5 Shamir-Backups):

  • zwei Aktien bei ihr zu Hause
  • eine Aktie bei einem engen Freund
  • eine Aktie bei ihrer Mutter
  • eine Aktie im Bankschließfach

Natürlich sind die einzelnen Aktien in analoger Form – handschriftlich auf Papier geschrieben oder in ein Blech gestanzt (mit Cryptosteel, Cryptotag oder ähnlichen Lösungen). Alice ist sich bewusst, dass sie die Freigaben niemals auf einem mit dem Internet verbundenen Computer aufschreiben oder eine digitale Kopie aufbewahren sollte.

Mit dieser Vereinbarung muss Alice sich auch bei einem Brand ihres Hauses keine Sorgen machen, den Zugang zu ihrem Bitcoin zu verlieren, denn sie kann den Zugang dazu wiedererlangen, indem sie die restlichen Aktien von ihrer Freundin, ihrer Mutter und dem Safe abholt. Sie muss sich auch keine Sorgen um Diebstahl machen, da kein einzelner Ort die erforderliche Schwelle für den Zugriff auf die Coins erreicht.

Shamirs geheimes Teilen ist somit eine perfekte Lösung für das Rätsel um Diebstahl/Verlust, da die isolierten Aktien an sich nutzlos sind und Alice sogar einige der Aktien verlieren kann, ohne den Zugang zu ihrem Bitcoin zu verlieren.

Das ursprüngliche Shamir-Schema gibt es seit 1979, wurde aber erst Ende 2017 für die Verwendung in Seed-Backups richtig standardisiert. Der Standard heißt SLIP-0039: Shamir’s Secret-Sharing for Mnemonic Codes und steht jedem zum Studieren, Teilen und in ihren Produkten umsetzen.

Shamir-Backups, die auf SLIP-39 basieren, werden von Trezor (Modell T), der Hermit-Wallet von Unchained Capital verwendet, und andere haben ebenfalls begonnen, den Standard zu übernehmen.

Erbschaftsplanung mit Shamir Backup

Die gleichen Eigenschaften, die Shamir Backup leistungsstark für die tägliche Sicherheit machen, machen es auch für die Nachfolgeplanung geeignet. Wenn Alice ihre Genesungsanteile wie oben beschrieben verteilen lässt, muss sie nur klare Anweisungen für ihre Hinterbliebenen aufschreiben, um die Nachfolge sicherzustellen.

Das hört sich jetzt vielleicht einfach an, aber das Schreiben des Vererbungsleitfadens sollte mit der richtigen Sorgfalt erfolgen. Hier sind die wichtigsten Dos und Don’ts:

  • Erzählen Sie Ihrem Liebsten nicht einfach von dem Shamir-Schema, sondern schreiben Sie es auf; wenn Sie es nur jemandem erzählen, würde er wahrscheinlich die Details vergessen (oder im schlimmsten Fall kann die Person bei einem Unfall mit Ihnen sterben);
  • schreiben Sie den Leitfaden mit Stift und Papier; Geben Sie es niemals auf Ihrem Computer ein, bewahren Sie niemals eine digitale Kopie auf;
  • erklären, was Shamir-Backups überhaupt sind und warum die Wiederherstellung mit größter Sorgfalt durchgeführt werden sollte (zB sollten die Shares niemals in eine Website eingegeben, niemals an Fremde gesendet werden, die über das Internet „zu helfen versuchen“);
  • den Gesamtbetrag der Aktien, den Schwellenwert und Anweisungen zum Aufdecken der Standorte der Aktien beschreiben;
  • Bewahren Sie den Erbschein an einer sicheren, kontrollierten Seite auf, auf die Ihre Angehörigen im Todesfall zugreifen können; Ihr Heimtresor funktioniert möglicherweise am besten, obwohl der geeignete Standort von den individuellen Umständen abhängt;
  • Machen Sie den Bitcoin-Erbleitfaden nicht zu einem Teil Ihres letzten Willens – dies kann die Überlebenden in Gefahr bringen, da der letzte Wille in einigen Gerichtsbarkeiten ein öffentlich zugängliches Dokument ist;
  • Aktualisierung des Vererbungsleitfadens, sollte sich etwas ändern (zB der Standort der Anteile);

Und wenn Sie Bitcoins auf Hot Wallets, Exchange-Konten oder anderen Diensten haben, sollten Sie natürlich auch Ihre Hinterbliebenen darüber informieren. Im Idealfall sollte jedes einzelne Satoshi für Ihre Lieben zugänglich sein, falls Ihnen etwas passiert.

Aber der vielleicht wichtigste Ratschlag ist, sich in die Lage eines Nocoiners zu versetzen. Denn wenn Ihre ganze Familie nicht genügend Orangenpillen hat, werden sie wahrscheinlich fatale Fehler machen, wenn sie verwirrt sind. Versuchen Sie also, so klar wie möglich zu sagen, was Sie zurückgelassen haben und wie Sie sicher darauf zugreifen können, ohne Betrügern, Phishing-Versuchen usw. zum Opfer zu fallen. Erwägen Sie, einen vertrauenswürdigen Bitcoiner-Freund zu empfehlen, um Ihrer Familie zu helfen. Seien Sie sehr vorsichtig, wen Sie empfehlen, aber seien Sie sich auch bewusst, dass, wenn Sie Ihrer Familie niemanden empfehlen, diese möglicherweise Fremde im Internet erreichen. Und selbst wenn sich Ihr Freund nicht als so vertrauenswürdig erweist, wie Sie dachten, wird Ihre Familie rechtliche Schritte gegen eine bekannte Person einlegen, was nicht der Fall wäre, wenn sie von einem Fremden betrogen würde.

Shamir oder Multisig?

Nicht jeder ist ein Fan von Shamir-Backups. Jameson Lopp (Casa) hat vor einiger Zeit eine Analyse der vermeintlichen Shamir-Mängel verfasst und stattdessen Multisig-Optionen empfohlen. Lopps Analyse ist fair und sollte hier angesprochen werden.

Zunächst einmal ist es wahr, dass die früheren Versuche von Shamirs Schema zur Verwendung in Seed-Backups nachlässig waren, wie Lopp betonte. Bei SLIP39 ist das jedoch anders. Der Standard wurde Ende 2017 geschrieben, aber erst im Sommer 2019 in das Trezor-Wallet implementiert. In den zwei Jahren vor der ersten Real-World-Implementierung wurde keine Schwachstelle gefunden, auch nicht in den zwei Jahren danach. Und es gibt keine, da die Mathematik hinter dem SLIP39 einfach richtig ist. Wäre dies nicht der Fall, wäre schon vor Jahren eine Schwachstelle gefunden worden.

Darüber hinaus lösen Shamir-Backups und Multisigs einen etwas anderen Anwendungsfall. Shamir-Backups lösen das Problem des Schutzes des Recovery-Seeds. Multisigs bieten erhöhte Sicherheit bei Transaktionen. Die beiden können tatsächlich kombiniert werden: Sie können ein Multisig-Schema haben, bei dem der Wiederherstellungs-Seed jeder einzelnen Wallet über Shamir-Backups geschützt ist.

Sowohl Multisig- als auch Shamir-Backups verlassen sich zu ihrer Sicherheit auf die physische Entfernung der Elemente (unterzeichnende Parteien oder Shamir-Freigaben). Das Einrichten und Verwenden beider Pläne ist daher zeitaufwendig.

Für Shamir ist dies kein Problem, da Sie sich normalerweise nur beim Einrichten Ihrer Wallet und später bei der Durchführung einer Wiederherstellung mit Ihrem Seed befassen müssen (was Jahre dauern kann).

Bei Multisig-Systemen stehen die Benutzer vor einem praktischen Koordinationsproblem, da Sie bei der Unterzeichnung von Transaktionen auf die aktive, kontinuierliche Beteiligung physisch entfernter Parteien angewiesen sind – was mehrmals im Monat, wenn nicht sogar öfter. Während dies für formelle Organisationen wie Hedgefonds oder Unternehmen machbar ist, ist es für Einzelpersonen ziemlich unpraktisch – es sei denn, sie bezahlen einen Dritten, der solche Dienstleistungen als ihr Geschäft anbietet.

Das Koordinationsproblem kann durch die Wahl eines Multisig-Setups gemildert werden, bei dem die Benutzer den erforderlichen Schwellenwert (zB 2 von 5) in ihrem eigenen Zuhause halten. Ein solches Setup ist praktischer als das, bei dem alle Schlüssel physisch verteilt sind, eliminiert jedoch einen der Vorteile von Multisigs – die Unfähigkeit, unter Zwang Transaktionen durchzuführen. Aber um fair zu sein, Shamir allein schützt auch nicht vor physischen Angriffsszenarien wie Home Intrusion, wenn der Benutzer seinen Trezor eingerichtet und sofort verfügbar hat.

Multisigs haben immer noch viele Fallstricke, wenn es um die Transaktionsverifizierung und die Sicherung des gesamten Setups geht. Diese werden hoffentlich in Zukunft mit weithin akzeptierten Industriestandards gelöst, aber bis dahin sind sie für normale, nicht-technische Hodler nicht wirklich brauchbar. Shamir-Backups sind heute brauchbar und praktisch.

Shamir-Backups verhindern effektiv Diebstahl und Verlust. Sie sind auch eine intelligente Möglichkeit, Bitcoin zur Vererbung weiterzugeben. Neben der Erstellung des Shamir-Backups selbst erfordert die Erbschaftsplanung klare schriftliche Anweisungen für die Überlebenden. Shamir kann in einem Multisig oder allein verwendet werden und ist eine praktische Lösung, um das Sicherheitsniveau zu erhöhen, ohne dass mehrere Wallets erforderlich sind.

Dies ist ein Gastbeitrag von Josef Tětek. Die geäußerten Meinungen sind ausschließlich ihre eigenen und spiegeln nicht unbedingt die von BTC, Inc. oder Bitcoin Magazine wider.

Leave A Reply

Your email address will not be published.

Contact Us