Sichere Selbstverwahrung von Bitcoin und anderen Kryptowährungen ist einfacher als je zuvor. Mit nutzerfreundlichen Hardware-Wallets und Backups aus Edelstahl muss das eigene Geld keinem zentralen Dienstleister mehr anvertraut werden, während man dank der hohen Sicherheit nachts gut schlafen kann.

Eine einfache Backup-Strategie, bei der man durch 12 oder 24 Wörter direkten Zugriff auf sämtliche Bestände erhält, ist zwar sehr einfach und damit vor allem risikoarm, wird aber den Ansprüchen von so manchen Nutzern nicht gerecht. Oft werden daher zusätzliche Maßnahmen ergriffen, um den Zugang zur eigenen Wallet zu erschweren. Zu vielen dieser Maßnahmen, ob optionale Passphrase oder Multisignatur-Wallets, gibt es bereits Erklärungen auf Blocktrainer.de.

In diesem Beitrag soll es um eine weitere, eher weniger bekannte Backup-Strategie gehen, die im Prinzip sehr ähnlich zu sogenannten Mnemonic Splits ist: Die Shamir-Backups von Trezor (→zum Shop), mit denen eine redundante Aufteilung in mehrere Backups ermöglicht wird, und das mit einigen Vorteilen gegenüber der „klassischen“ Aufteilung mit einer einfachen Papier-Vorlage. Schauen wir uns also die konkreten Vor- und Nachteile etwas genauer an.

Mnemonic Splits

Der Ansatz, die 24 Wiederherstellungswörter, auch Mnemonic genannt, einfach auf mehrere einzelne Backups zu verteilen, ist eigentlich naheliegend. Entscheidend ist dabei aber die konkrete Aufteilung der Wörter, da sich jeweils unterschiedliche Vor- und Nachteile ergeben können, die unbedingt beachtet werden sollten.

Teilt man die 24 Wörter einfach "in der Mitte" auf, also Wörter 1-12 auf die eine Hälfte und Wörter 13-24 auf die andere, ist ein einzelnes Backup logischerweise nicht mehr ausreichend, um Zugriff auf die entsprechende Wallet zu erhalten. Diese 1/2 Aufteilung bringt damit auch den Nachteil mit sich, dass man sich im schlimmsten Fall auch selbst aussperren kann: Geht eines der Backups verloren oder wird gestohlen, kann man mit dem anderen nichts mehr anfangen – obwohl man durch die Aufteilung eigentlich genau das vermeiden wollte.

Sinnvoller ist daher eine redundante Aufteilung auf drei Backups, wobei bereits zwei der drei Backups ausreichend für den vollen Zugriff sind, z.B. indem 16 der 24 Wörter jeweils versetzt aufgeschrieben werden. Der Verlust eines einzelnen Backups ist also weder tragisch, noch kann ein Einbrecher damit schlagartig die gesamte Wallet räumen.

Die klassische 2/3 Vorlage eines Mnemonic Splits

Doch leider kommt dieser Ansatz nicht ohne Nachteil aus. Erhält ein Angreifer eines der Backups, kennt er natürlich 16 der insgesamt 24 Wörter. Die verbleibenden acht zu erraten ist zwar immer noch alles andere als einfach, aber dennoch nicht mehr mit der empfohlenen Sicherheit von mindestens 12 Wörtern vergleichbar. Konkret wird das Sicherheitsniveau auf ungefähr 80 Bit reduziert, für die man zumindest langfristig keine Hand mehr ins Feuer legen sollte.

Shamir's Secret Sharing

Bevor wir zur eigentlichen Funktion der Trezor Wallets gelangen, lohnt es sich, die grundlegende Kryptografie dahinter etwas besser kennenzulernen. Shamir's Secret Sharing, kurz einfach nur SSS, ist ein kryptografisches Verfahren, um ein Geheimnis auf sichere Weise auf beliebig viele Anteile aufzuteilen. Die Idee ist, dass erst beim Erreichen einer vorher festgelegten Anzahl von Anteilen, das ursprüngliche Geheimnis rekonstruiert werden kann. Das Besondere an diesem Verfahren ist, dass es bezüglich der mathematischen Sicherheit keinerlei Kompromisse eingeht. Erhält ein Angreifer ein oder mehrere Anteile, die allerdings noch nicht für die Rekonstruierung ausreichen, kann er mit diesen rein gar nichts anfangen, oder mit anderen Worten: Er kann keine Information aus den Anteilen gewinnen.

Gegenüber der 2/3 Aufteilung in Form eines Mnemonic Splits ist dies ein klarer Vorteil: Das Sicherheitsniveau wird nicht auf 80 Bit reduziert, sondern bleibt unverändert. Erst wenn entsprechend zwei der drei Anteile vorliegen, kann das Geheimnis, also in diesem Fall das Backup zur Wallet, wiederhergestellt werden.

Ein großer Kompromiss

Im ersten Moment klingt das zwar sehr vielversprechend, doch die Nutzung von SSS ist leider nicht kompromisslos, und das liegt vor allem an der Nutzerfreundlichkeit und dem damit einhergehenden erhöhten Fehlerrisiko. Denn während man einen Mnemonic Split recht einfach und vor allem offline durchführen kann, benötigt man für das Erzeugen und dem Kombinieren der SSS-Anteile grundsätzlich einen Computer. Insbesondere für Nutzer einer Hardware-Wallet ist dies nicht akzeptabel, da es dem Grundgedanken, das Wallet-Geheimnis von Desktop Rechnern oder Smartphones fernzuhalten, komplett widerspricht.

Doch selbst wenn man darüber hinwegsieht, steht man nun vor dem Problem, sperrige Tools aus dem Internet benutzen zu müssen. Diese spucken einem meistens Hexadezimalzahlen aus, welche nicht nur recht lang, sondern auch unleserlich sind. Eine Sicherung auf Papier oder gar Stahl ist also ziemlich umständlich, dauert länger und bringt vor allem ein entscheidendes Risiko mit sich: Tippfehler. Während eine nach BIP-39 standardisierte Mnemonic eine Prüfsumme enthält und aus herkömmlichen englischen Wörtern besteht, bleiben Tippfehler bei einem simplen SSS-Ansatz nicht nur unentdeckt, sondern wirken sich beim Rekonstruieren eventuell auf große Teile des Geheimnisses aus. Im schlimmsten Fall führt ein einziger Tippfehler, der bei folgendem Beispiel mit über 700 zu sichernden Zeichen gar nicht so unwahrscheinlich ist, zu einem komplett unleserlichen Geheimnis.

Rekonstruktion vom Geheimnis "Blocktrainer" mit zwei Anteilen
Ein einziger Tippfehler kann auf das gesamte Ergebnis streuen

Trezor Shamir-Backups

Der Anspruch der Shamir-Backups von Trezor sollte jetzt also sein, die Vorteile eines Mnemonic Splits, nämlich einfache Backups mit wenig Fehlerpotenzial, mit den Vorteilen von Shamir's Secret Sharing, also "perfekter" mathematischer Sicherheit, zu kombinieren. Und das gelingt eigentlich auch ziemlich gut!

Im SLIP-39 von Trezor, einer Alternative zum verbreiteten BIP-39 Standard, wird das Konzept von englischen Wiederherstellungswörtern mit SSS kombiniert. Ein Anteil, der in der Regel 20 Wörter umfasst, enthält dabei nicht nur die rohen Daten aus dem SSS-Verfahren, sondern unter anderem auch Metadaten über die Gesamtzahl der Anteile, den Schwellwert, um das Geheimnis wiederherzustellen sowie eine Prüfsumme. Letztere ermöglicht, genau wie bei einer herkömmlichen BIP-39 Mnemonic, Fehler beim Notieren des Backups zu vermeiden und beseitigt damit den oben gezeigten Nachteil von SSS.

Mit einer Trezor Hardware-Wallet ist das Einrichten einer Wallet mit Shamir-Backups außerdem denkbar einfach. Der Nutzer kann auf dem Display der Hardware-Wallet bis zu 16 Backups konfigurieren und die benötigten Anteile für die Wiederherstellung ebenfalls individuell einstellen. Schritt für Schritt wird man anschließend durch die Sicherung der Backups geführt, jeweils inklusive sorgfältiger Überprüfung. Für die Wiederherstellung gibt man die benötigte Anzahl an Backups einfach auf der Hardware-Wallet ein, und die eigene Wallet wird automatisch wieder "zusammengebaut".

Erkennbar sind die Shamir-Backups an ihren 20 oder 40 Wörtern, sowie der Eigenschaft, dass sie sich die ersten Wörter jeweils teilen. Diese konstanten Wörter codieren die bereits erwähnten Metadaten und erlauben zudem auf einen Blick zu erkennen, welche Backups zusammen gehören. Auch kann es entsprechend vorkommen, dass Wörter an einer bestimmten Stelle auch über unterschiedliche Wallets hinweg identisch sind, da es sich hier wie erwähnt häufig um wiederverwendete Werte (z.B. durch die klassische 2/3 Aufteilung) handelt.

stadium extend acrobat leader capacity losing furl hunting debris browser hawk slap axle costume prospect blessing desert welfare usual veteran
stadium extend beard leader axle decorate change nervous rainbow staff spill mule warn tracks phantom cylinder august valuable trash research
stadium extend ceramic leader alpha verdict penalty decision domestic owner lamp sugar endless priest voter imply season smear froth single

Ein Beispiel für drei Shamir-Backups mit jeweils 20 Wörtern

Fazit

Keine Backup-Strategie ist frei von Nachteilen, und das trifft natürlich auch auf die Shamir-Backups von Trezor zu. Nicht ohne Grund nutzen die allermeisten Wallets den verbreiteten BIP-39 Standard. Nutzer sind nicht nur mit ihm vertraut, sondern können ihre Backups vor allem ohne Einschränkungen in zahlreichen Soft und Hardware-Wallet importieren, ohne auf große Probleme bezüglich Kompatibilität zu stoßen. Der SLIP-39 Standard hingegen ist weder direkt mit BIP-39 kompatibel, noch nutzt er die gleiche Wortliste.

Dass es neben Trezor Hardware-Wallets kaum Alternativen gibt, SLIP-39 sicher und unkompliziert zu verwenden, sollte bei der Entscheidung, die Funktion zu nutzen, unbedingt beachtet werden. Unmöglich ist es natürlich nicht, auch ohne Hardware von Trezor die eigene Wallet wiederherzustellen, alleine schon, weil es sich bei SLIP-39 um einen öffentlichen Standard handelt, für den es entsprechende Software-Tools gibt. Notfalls können letztere auch offline auf einem Rechner verwendet werden, eine ideale Lösung ist dies allerdings nicht, im "Fall der Fälle" jedoch besser als nichts..

Ein häufiges Problem mit zu vielen Standards | Quelle: xkcd.com

Wer aber ohnehin schon eine Trezor Hardware-Wallet besitzt oder vorhat, sich eine zuzulegen, erhält mit den optionalen Shamir-Backups eine unkomplizierte Möglichkeit, die eigenen Wallet-Backups in einer beliebigen Konfiguration aufzuteilen, ohne dass die Sicherheit darunter leiden muss. Gerade für komplexere Backup-Strategien, bei denen Freunde und Verwandte mit einbezogen werden sollen, kann dies von Vorteil sein.

Am Ende des Tages bleibt die Entscheidung zwischen einem klassischen Mnemonic Split und den Shamir-Backups nach SLIP-39, oder ob man überhaupt eine solche Strategie wählen möchte, höchst individuell. Welchen Nachteil man gegen welche Vorteile eintauschen möchte, muss jeder selbst entscheiden.

Klassischer Mnemonic Split Trezor Shamir-Backups
Analog und kompatibel mit BIP-39 Verwendung eines abweichenden Standards
Sicherheitsverlust bei bekanntem Backup Kein Sicherheitsverlust bei bekanntem Backup
Eingeschränkte Möglichkeiten bei Aufteilung Beliebige Aufteilungen möglich

Erfahre mehr über den Trezor Safe 3 in unserem Testbericht.