Shamir Backup — формально SLIP-39, Satoshi Labs Improvement Proposal 39 — разделяет одну сид на N долей таким образом, что любые T из N (например, 2 из 3, или 3 из 5) реконструируют сид. Потеряйте любую одну долю, и сид всё ещё восстановим; скомпрометируйте любую одну долю, и сид всё ещё в безопасности. Реализован нативно на Trezor Safe 3 и Safe 5; также поддерживается через Trezor Suite на старых моделях Trezor.
Криптографическая основа
Shamir's Secret Sharing, спроектированная Ади Шамиром в 1979 году, — это 47-летний криптографический примитив. Математика: закодируйте секрет как постоянный член полинома степени T-1, выборка N точек на полиноме, распределение точек. T точек достаточно, чтобы реконструировать полином — и поэтому постоянный член, секрет. Меньше чем T точек не раскрывают буквально ничего о секрете.
SLIP-39 пакетирует это со словарём (отличным от словаря BIP-39, оптимизированным для случая использования SLIP-39), checksum битами и групповой структурой, которая позволяет иерархические разделения (например, 3-of-5, где две группы холдеров каждая нуждается в внутреннем threshold одобрении).
Почему это имеет значение на практике
Shamir Backup решает две различные проблемы, которые backup одной сид не решает:
Первое, географическая избыточность без компромисса. С 2-of-3 разделением вы можете оставить одну долю дома, одну в доме родителей, одну в банковской ячейке. Любая одна локация может сгореть без потери сид. Никакая одна локация не держит сид — поэтому вор по любой одной локации не получает ничего.
Второе, планирование наследования без раскрытия сид в жизни. Душеприказчик может получить одну долю (с инструкциями о том, где найти вторую после смерти), пока третья остаётся у холдера. План наследства работает без того, чтобы холдер должен был записать полную сид кому-то ещё для чтения.
Shamir vs multisig
Shamir разделяет одну сид; multisig использует несколько независимых сид. Практическая разница: Shamir требует реконструкции в одном месте (краткое окно уязвимости, когда сид существует на одном устройстве), multisig никогда не реконструирует (подписи комбинируются, сами ключи никогда не собираются). Для российского холдера под 25 миллионами ₽ Shamir проще и достаточен. Выше этого более сильное свойство non-reconstruction multisig становится стоящим сложности.
Распространённые ошибки
Хранение двух долей в одной локации побеждает цель географической избыточности. Хранение долей с видимой маркой кошелька побеждает opsec. Забывание, какой T вы использовали, чтобы разделить (было 2-of-3 или 3-of-5?) делает реконструкцию методом проб и ошибок. Пишите threshold на каждой доле, ясно: "2/3 — Trezor SLIP-39 — Cofre do Holder setup, май 2026".
Дополнительное чтение: Multisig, Мнемоника, Пять способов хранить сид-фразу.