Article hero image

Privāto atslēgu pārvaldība un sēklas frāzes drošība: Uzlabotas tehnikas un atgūšanas stratēģija

Tajā brīdī, kad jūs pārvietojat savu kriptovalūtu no biržas uz personīgo maku, jūs kļūstat par savu pašu banku. Šī pašsuverenitātes akts — kripto ekosistēmas pamatprincips — nāk ar dziļu atbildību: absolūta jūsu privāto atslēgu drošība.

Lielākajai daļai iesācēju atslēgu pārvaldība sākas un beidzas ar 12 vai 24 vārdu uzrakstīšanu uz papīra lapas un tās uzglabāšanu seifā. Lai gan tas ir pamata solis, tas ir nepietiekams nozīmīgas bagātības aizsardzībai vai paaudžu pārneišanai. Uguns, plūdi, bojāšanās un pat vienkārša aizmirstība rada riskus, ko standarta papīra uzglabāšana nevar pārvarēt.

Šis ceļvedis pārsniedz pamatus, piedāvājot izturīgu ietvaru ilgtermiņa privāto atslēgu aizsardzībai. Mēs izpētīsim metodes, kuras izmanto drošības eksperti, lai padarītu atgūšanu izturīgu, elastīgu un gatavu nākotnei, nodrošinot, ka jūsu digitālie aktīvi izdzīvo gan fiziskas katastrofas, gan laika pārbaudi.

Infographic

Galvenās atslēgas koncepts: Saprotiet savu atbildību

Pirms uzlabotu tehniku ieviešanas ir izcrucial stingri saprast, ko īsti pārstāv sēklas frāze (vai atgūšanas frāze) un kāpēc tās slepenība ir nekaitojama.

Sēklas frāzes pret privātajām atslēgām

Kriptovalūtās jūs tehniski posedējat privātās atslēgas — garas, burtciparu virknes, kas piešķir transakciju pilnvaras pār noteiktām monētām. Tomēr simtiem šo atslēgu pārvaldīšana ir neiespējama.

Sēklas frāze (vai mnemoniskā frāze, parasti 12 vai 24 vārdi) darbojas kā universāla galvenā atslēga. Tā ir viegli lasāma reprezentācija vienīgajai galvenajai privātajai atslēgai, no kuras matemātiski izrietošas visas jūsu individuālās maka adreses un atbilstošās privātās atslēgas.

Galvenais secinājums: Ja hakeris vai zaglis iegūst piekļuvi jūsu sēklas frāzei, viņi iegūst tūlītēju un neatcēlamu kontroli pār visiem ar šo maku saistītajiem līdzekļiem, neatkarīgi no tā, cik spēcīga ir jūsu maka parole vai PIN.

Problēma ar vienkāršiem dublējumiem

Viena papīra lapa, uzglabāta mājas seifā, ir viens neveiksmes punkts. Ja seifs tiek uzlauzts, māja sadeg vai papīrs bojājas mitruma dēļ, aktīvi ir neatgriezeniski zuduši.

Uzlabota atslēgu pārvaldība pāriet no frāzes "slēpšanas" stratēģijas uz frāzes "izturības un grūtības rekonstruēt" stratēģiju. Tas nozīmē fiziskas izturības, ģeogrāfiskas izplatīšanas un kriptogrāfiskas sadalīšanas tehniku izmantošanu.

Infographic

Fiziskās uzglabāšanas izturības uzlabošana: Pārspējiet elementus

Pirmā aizsardzības līnija ir nodrošināt, ka fiziskais nesējs, kurā uzglabāta jūsu sēklas frāze, iztur kopīgus draudus, proti, uguni, ūdeni un koroziju.

Materiālu izvēle: Papīrs pret metālu

Lai gan papīrs ir standarts sākotnējai uzstādīšanai, tas ir ārkārtīgi ievainojams. Ilgtermiņa aukstās uzglabāšanas gadījumā (aktīvi, kurus neplānojat pieskarties gadiem), izturīgi materiāli ir obligāti.

Papīra dublējumi (Zema izturība)

Standarta papīrs un tintes var izplūst, izbalēt vai sadegt salīdzinoši zemās temperatūrās (ap 450°F vai 232°C). Ja izmantojat papīru, izmantojiet skābes brīvu arhīva papīru un ūdensizturīgu, arhīva kvalitātes tinte vai zīmuli (grafīts ir ārkārtīgi izturīgs). Uzglabājiet to blīvi noslēgtā, ūdensizturīgā korpusā.

Metāla dublējumi (Augsta izturība)

Metāla štancēšana vai gravēšana ir nozares standarts robustai, ilgtermiņa aukstajai uzglabāšanai.

  • Nerūsējošais tērauds (304 vai 316): Ļoti izturīgs pret uguni (kausēšanās punkts virs 2,500°F vai 1,370°C), rūsu un koroziju. Sēklas frāzes parasti tiek štancētas vai gravētas uz specializētām metāla plāksnēm vai cilindriem.
  • Titāns: Vēl izturīgāks un izturīgs pret kaustiskiem ķīmiskiem līdzekļiem un ārkārtīgi augstām temperatūrām, lai gan bieži dārgāks.

Praktisks padoms: Štancējot, dubultpārbaudiet katru vārdu pirms gravēšanas pabeigšanas. Kļūdas metālā ir grūti vai neiespējami labot bez sākšanas no jauna.

Katastrofu plānošana un ģeogrāfiska izplatīšana

Pat visizturīgākā metāla plāksne ir bezjēdzīga, ja tā atrodas jūsu mājas seifā reģionāla plūda vai mājas ugunsgrēka laikā. Ģeogrāfiska izplatīšana novērš vienu neveiksmes punktu, kas saistīts ar fizisku atrašanās vietu.

Mērķis ir uzglabāt informācijas daļas pietiekami lielos attālumos, lai viena dabas katastrofa nevarētu iznīcināt visas kopijas vienlaikus.

Izplatīšanas stratēģija Apraksts Labākais
Divu atrašanās vietu sadalījums Divu pilnīgu, identisku kopiju uzglabāšana dažādās, ne tuvu esošās drošās vietās (piem., mājas seifs un bankas seifa depozīta kaste). Mērens risks, augstas vērtības portfeļi.
Trīs atrašanās vietu sadalījums Trīs pilnīgu kopiju uzglabāšana trīs atšķirīgās vietās (piem., mājās, bankā, uzticamam advokātam ģimenes loceklim citā pilsētā). Maksimāla redundance, zemāka privātums (vairāk cilvēku/vietu iesaistīti).

Labākā prakse izplatīšanai: Nekad neapzīmējiet dublējumu skaidri kā "Bitcoin Seed Phrase." Izmantojiet kodētu identifikatoru, ko sapratīs tikai jūs vai jūsu mantinieki (piem., "M.A. Projekta piezīmes" vai "Himalaju ceļojuma foto dublējums").

Digitālo dublējumu briesmas: Kontrolēta šifrēšana

Ērtības meklējumos daži lietotāji ir kārdināti uzglabāt savu sēklas frāzi digitāli — smaga kļūda, ja tas izdarīts bez ārkārtīgas piesardzības. Mākoņu uzglabāšana, e-pasti un piezīmju lietotnes bieži tiek mērķētas un skenētas ļaunprātīgu dalībnieku.

Ja jūs tomēr izmantojat digitālo komponentu (varbūt uzlabotai atslēgu sadalīšanai vai mantojuma atvieglošanai), tam jābūt ar robustu, slāņainu šifrēšanu, izolētu no interneta un uzglabātam fiziskā vietā.

Augstas drošības digitālā šifrēšana (Veracrypt paskaidrots)

Ja jūsu uzstādīšanai nepieciešams uzglabāt atslēgas komponentu digitāli, jums vajadzīgs pilnšdiska vai failu konteinera šifrēšanas rīks. Veracrypt ir plaši cienīts, atvērtā koda rīks, kas ļauj lietotājiem izveidot augsti šifrētus virtuālos disku konteinerus.

Kā izmantot Veracrypt droši:

  1. Izveidojiet konteineru: Izmantojiet Veracrypt, lai izveidotu lielu šifrētu failu (konteineru) uz ārēja USB diska.
  2. Spēcīga parole: Izšķiroši, izmantojiet paroli (teikumu vai 15+ rakstzīmju virkni, ieskaitot simbolus), kas ir pilnībā atsevišķa no jūsu kripto sēklas frāzes.
  3. Uzglabājiet komponentu: Novietojiet sēklas frāzi (vai tās komponentu) šajā šifrētajā konteinerā.
  4. Atskaites gaisa sprauga: Kad izveidots, USB disks jāatvieno fiziski no visiem datoriem un uzglabāt droši blakus Veracrypt parolei (kura jāuzglabā atsevišķi no diska).

Kritisks brīdinājums: Ja zaudējat Veracrypt paroli, konteinera iekšpusē esošie dati ir neatgūstami.

Gaisa spraugu pret savienotu uzglabāšanu

Drošākā digitālā uzglabāšana ir gaisa spraugu uzglabāšana — ierīce (kā USB zibatmiņa vai ārējs cietais disks), kas nekad nav un nekad netiks savienota ar internetu.

Uzglabāšanas tips Risku profils Lietošanas gadījums
Savienots (Mākonis/PC) Ekstrēms risks. Pakļauts taustiņu reģistratoriem, ļaunprātīgai programmatūrai un attālinātai piekļuvei. Nekad neizmantojiet jutīgām atslēgām.
Gaisa sprauga (Šifrēts USB) Augsta drošība. Nepieciešama fiziska piekļuve ierīcei un šifrēšanas paroles zināšanas. Sadalītas atslēgas frāzes komponenta vai šifrētu parolu uzglabāšana.

Uzlabota atslēgu sadalīšana: Ieviešam Shamir noslēpuma dalīšanu (SSS)

Shamir noslēpuma dalīšana (SSS) ir matemātiski elegantā kriptogrāfiskā tehnika, kas ļauj vienu noslēpumu (jūsu sēklas frāzi) sadalīt vairākās unikālās daļās vai "daļās".

SSS ģenialitāte ir tā, ka jums vajadzīga tikai iepriekš noteikta daļu skaita rekonstruēt visu noslēpumu. To sauc par N-no-M shēmu.

Kā darbojas SSS: N-no-M shēma

Iedomājieties, ka jūsu sēklas frāze ir seifa atslēga. Jūs vēlaties nodrošināt, ka:

  1. Neviena persona nevar atvērt seifu viena pati (novērš zādzību).
  2. Seifs joprojām var tikt atvērts pat tad, ja dažas daļas ir zudušas (novērš zaudējumus).

Tas tiek panākts ar $N$-no-$M$ konfigurāciju:

  • M (Kopējās daļas): Kopējais daļu skaits, ko izveidojat (piem., 5 daļas).
  • N (Slieksnis): Minimālais daļu skaits, kas nepieciešams oriģinālā noslēpuma rekonstruēšanai (piem., 3 daļas).

3-no-5 shēmā:

  • Jūs izveidojat 5 unikālas daļas.
  • Jūs izplatāt tās 5 uzticamiem cilvēkiem/vietām.
  • Ja zaudējat 2 daļas (vai 2 cilvēki kļūst nekooperatīvi), noslēpumu joprojām var atgūt, izmantojot atlikušās 3 daļas.
  • Neviena persona ar tikai 1 vai 2 daļām nevar rekonstruēt noslēpumu.

Šī sistēma nodrošina pārāku izturību pret gan zaudējumiem (redundance), gan zādzībām (nepieciešama vairāku colluding pušu sadarbība).

SSS praktiskā ieviešana

Lai gan pamata matemātika ir sarežģīta, moderni aparatūras maciņi (kā daži Trezor modeļi) un specializēti atvērtā koda rīki automātiski veic sadalīšanu.

Ieviešanas soļi:

  1. Noteikt shēmu: Izvēlieties vēlamo konfigurāciju (piem., 4-no-6 ir izplatīta ģimenes plānošanai).
  2. Ģenerēt daļas: Izmantojiet maku vai specializētu programmatūru, lai ģenerētu 6 unikālas, sajauktas daļas.
  3. Fizikalizēt daļas: Uzrakstiet katru daļu uz izturīga nesēja (piem., štancētas metāla plāksnes).
  4. Izplatīt un izplatīt: Uzglabājiet Daļu 1 Vietā A, Daļu 2 Vietā B utt. Nodrošiniet, ka vietas ir ģeogrāfiski dažādas.
  5. Pārbaudīt procesu: Izšķiroši, praktizējiet frāzes rekonstruēšanu, izmantojot minimālo daļu skaitu ($N$) drošā, bezsaistes vidē, lai apstiprinātu, ka process darbojas, pirms pilnībā paļauties uz to.

SSS pret vienkāršu sadalīšanu

Daži lietotāji mēģina ieviest pamata sadalīšanas versiju, vienkārši sadalot savu 24 vārdu sēklas frāzi trīs 8 vārdu daļās un uzglabājot tās atsevišķi. Tas ir būtiski zemāks par SSS:

Funkcija Vienkārša vārdu sadalīšana (piem., 3x8 vārdi) Shamir noslēpuma dalīšana (SSS)
Drošība Zema. Ja zaglis iegūst vienu 8 vārdu daļu, viņam jāatmin tikai atlikušie 16 vārdi (joprojām iespējams ar brutālu spēku). Augsta. Viena SSS daļa ir matemātiski bezvērtīga un nesniedz nekādu informāciju par noslēpumu.
Redundance Zema. Ja zaudējat vienu 8 vārdu daļu, visa 24 vārdu frāze ir zudusi uz visiem laikiem. Augsta. Jūs varat zaudēt $M-N$ daļas un joprojām atgūt noslēpumu.

Smagas ilgtermiņa aktīvu aizsardzības gadījumā SSS ir vienīgā kriptogrāfiski pareizā atslēgu sadalīšanas metode.

Robustas atslēgu pārvaldības protokola izveidošana

Uzlabota drošība prasa definētu protokolu — noteikumu un procedūru kopumu, kas nosaka, kā piekļūt, auditēt un galu galā nodot jūsu atslēgas.

"T-2-T" noteikums (Uzticama trešā puse, Uzticama tehnoloģija, Uzticams laiks)

Veidojot uzglabāšanas un atgūšanas protokolu, strukturējiet to ap trim uzticības pīlāriem:

1. Uzticama trešā puse (TTP)

Šī ir persona vai maza cilvēku grupa, kuri zina jūsu drošības shēmu un kuru rokās ir komponenti (daļas vai izplatīšanas vietu kartes). Tas jābūt kādam, kurš gūst labumu no jūsu finansiālās labklājības, bet kurš nav spējīgs pats rekonstruēt pilnu atslēgu.

Piemērs: Ja izmantojat SSS (4-no-6), izplatiet daļas sešiem ģimenes locekļiem, nodrošinot, ka ne četri dzīvo tajā pašā ģeogrāfiskajā apgabalā vai pastāvīgi sazinās.

2. Uzticama tehnoloģija (TTech)

Pielīpiet pierādītai, atvērtā koda tehnoloģijai. Izvairieties no proprietārām ierīcēm vai programmatūras, kas nav plaši auditēta drošības kopienā.

  • Aparatūra: Izmantojiet pierādītus, auditētus aparatūras maciņus (kā Trezor vai Ledger).
  • Šifrēšana: Izmantojiet auditētus, atvērtā koda rīkus (kā Veracrypt).
  • Fiziskā: Izmantojiet standartizētus, ugunsizturīgus materiālus (nerūsējošais tērauds).

3. Uzticams laiks (TT)

"Uzticamais laiks" ir plānotais nākotnes punkts, kad tiek aktivizēts jūsu atgūšanas plāns vai mantojuma protokols. Tas tieši saistās ar mantojuma plānošanu, bieži izmantojot "Mirušā vīra slēdzi" mehānismu (apspriests zemāk).

Regulāras auditi un atgūšanas mācības

Daudzi cilvēki uzstāda auksto uzglabāšanu un aizmirst par to gadiem — tikai tad, kad konstatē, ka nesējs ir degradējies vai atgūšanas process vairs nedarbojas, kad tas patiešām vajadzīgs.

  1. Gada verifikācija: Reizi gadā izņemiet vienu no jūsu fiziskajiem dublējumiem (ideāli to, kas visnepadevīgākā uzglabāšanas vidē, kā putekļains bēniņi vai mitrs pagrabseifs) un pārbaudiet, ka rakstība joprojām lasāma un metāls brīvs no smagas korozijas.
  2. Atgūšanas mācība (simulēta): Ik pēc diviem līdz trim gadiem veiciet simulētu atgūšanu. Pilnīgi bezsaistes vidē ievadiet sēklas frāzi pagaidu, izolētā makā (kurš nesatur līdzekļus), lai nodrošinātu, ka frāze ir pareiza. Nekavējoties notīriet datoru pēc tam. Tas verificē, ka jūsu uzglabāšana un transkripcija ir precīza, neizgaismojot jūsu reālos aktīvus.

Kripto mantojums: Plānošana nākotnei

Lielākais izaicinājums pašuzglabāšanā ir nodrošināt, ka jūsu bagātība ir pieejama jūsu mantiniekiem, neizgaismojot to nevajadzīgiem riskiem, kamēr jūs esat dzīvs. Ja jūs pēkšņi nomirat bez piekļuves plāna, līdzekļi ir vienkārši zuduši uz visiem laikiem.

"Mirušā vīra slēdzes" stratēģija

Mirušā vīra slēdzes ir mehānisms, kas automātiski izpilda kritisku funkciju (kā atslēgas komponentu atklāšana), ja īpašnieks neziņo pēc noteikta perioda.

Tehniskā ieviešana:

  1. Aktivizēšanas uzstādīšana: Izmantojiet šifrētu ziņapmaiņas servisu vai specializētu mantojuma programmatūru, kas prasa jums ziņot reizi nedēļā vai mēnesī caur drošu kanālu (piem., signālu no jūsu verificētās aparatūras maciņa).
  2. Laika aizkave: Iestatiet aizkavi (piem., 90 dienas). Ja izlaižat 90 dienu ziņojumus, slēdzes aktivizējas.
  3. Šifrēta atslēgas atklāšana: Aktivizējoties, sistēma izlaiž nepieciešamo informāciju — bieži šifrētu failu ar instrukcijām un atrašanās vietu/šifrēšanas paroli vienai no jūsu atslēgas daļām.

Svarīga piezīme: Slēdzes nedrīkst izlaist visu sēklas frāzi, bet tikai pietiekami daudz informācijas, lai jūsu ieceltajam izpildītājam sāktu atgūšanas procesu (piem., Veracrypt faila šifrēšanas paroli, kurā ir Daļa 1 no 5).

Tiesiskie instrumenti pret tehniskajiem risinājumiem

Kripto aktīvi labi neiederas tradicionālajā tiesiskajā mantojuma plānošanā. Testaments, kurā teikts "Es atstāju visu savu kripto meitai", ir bezjēdzīgs, ja viņa nevar fiziski piekļūt līdzekļiem.

1. Tehniskais risinājums (Ieteicamais)

Paļaujieties uz SSS un Mirušā vīra slēdzi. Tiesiskais testaments drīkst tikai nosaukt izpildītāju, kurš iecelts saņemt aktivizēšanas instrukcijas un piekļuvi TTP, kuri tur atslēgas daļas. Testaments apstiprina tiesisko tiesību uz aktīviem, bet tehniskais plāns nodrošina fizisko piekļuvi.

2. Tiesiskā instrukciju dokumenta

Izveidojiet ļoti detalizētu, tiesiski pamatotu Instrukciju vēstuli (atsevišķu no testamenta, jo testaments ir publisks ieraksts). Šī vēstule, nostiprināta advokāta vai izpildītāja seifā, jāietver:

  • Visu izmantoto maku saraksts (bez adresēm).
  • Ieviešamās drošības sistēmas tips (piem., "4-no-6 Shamir sadalījums").
  • Kontakinformācija visām uzticamām trešajām pusēm, kas tur daļas.
  • Instrukcijas, kā dešifrēt pirmo komponentu (Veracrypt parole).

Izšķirošs drošības pasākums: Instrukciju vēstule nekad nedrīkst saturēt pašu sēklas frāzi, nedrīkst saturēt pietiekami daudz informācijas atslēgas rekonstruēšanai. Tā nodrošina tikai karti un sākotnējos soļus.

Secinājums: Apņemšanās drošībai kā praksei

Privāto atslēgu pārvaldības apgūšana nav vienreizēja uzstādīšana; tā ir nepārtraukta modrības, redundances un tālredzības prakse. Pārejot no viena papīra dublējuma uz uzlabotām tehnikām kā Shamir noslēpuma dalīšana un ģeogrāfiski izplatīta metāla uzglabāšana, jūsu drošības pozīcija pārvēršas no ievainojamas uz izturīgu.

Ieviešot robustu fizisko uzglabāšanu, rūpīgu digitālo šifrēšanu piekļuves komponentiem un veltītu mantojuma protokolu, jūs ne tikai aizsargājat savu bagātību pret hakeriem — jūs veidojat patiesu, pašsuverēnu finansiālu ilgmūžību paaudzēm. Sāciet mazi, verificējiet katru soli un nepārtraukti auditējiet savu drošības uzstādījumu, lai nodrošinātu, ka jūsu galvenā atslēga paliek droša.