Shamir Backup — формально SLIP-39, Satoshi Labs Improvement Proposal 39 — розділяє одну сід на N часток таким чином, що будь-які T з N (наприклад, 2 з 3, або 3 з 5) реконструюють сід. Втратьте будь-яку одну частку, і сід все ще відновлювана; скомпрометуйте будь-яку одну частку, і сід все ще в безпеці. Реалізований нативно на Trezor Safe 3 і Safe 5; також підтримується через Trezor Suite на старіших моделях Trezor.
Криптографічна основа
Shamir's Secret Sharing, спроектована Аді Шаміром у 1979 році, — це 47-річний криптографічний примітив. Математика: закодуйте секрет як постійний член полінома ступеня T-1, вибірка N точок на поліномі, розподіл точок. T точок достатньо, щоб реконструювати поліном — і тому постійний член, секрет. Менше ніж T точок не розкривають буквально нічого про секрет.
SLIP-39 пакетує це зі словником (відмінним від словника BIP-39, оптимізованим для випадку використання SLIP-39), checksum бітами і груповою структурою, що дозволяє ієрархічні поділи (наприклад, 3-of-5, де дві групи голдерів кожна потребує внутрішнього threshold схвалення).
Чому це має значення на практиці
Shamir Backup вирішує дві окремі проблеми, що backup однієї сід не вирішує:
Перше, географічна надмірність без компромісу. З 2-of-3 поділом ви можете залишити одну частку вдома, одну у будинку родичів, одну в банківській комірці. Будь-яка одна локація може згоріти без втрати сід. Жодна одна локація не тримає сід — тому злодій по будь-якій одній локації не отримує нічого.
Друге, планування спадкоємства без розкриття сід у житті. Виконавець заповіту може отримати одну частку (з інструкціями про те, де знайти другу після смерті), поки третя залишається у голдера. План спадкоємства працює без того, щоб голдер мусив записати повну сід комусь іншому для читання.
Для українців воєнного часу: 2-of-3 з частками у Києві, банківській комірці у Львові, і за кордоном (Польща через довіреного родича) — оптимальна структура для голдерів з ризиком евакуації.
Shamir vs multisig
Shamir розділяє одну сід; multisig використовує кілька незалежних сід. Практична різниця: Shamir вимагає реконструкції в одному місці (коротке вікно вразливості, коли сід існує на одному пристрої), multisig ніколи не реконструює (підписи комбінуються, самі ключі ніколи не збираються). Для українського голдера до 8 мільйонів ₴ Shamir простіший і достатній. Вище цього сильніша властивість non-reconstruction multisig стає вартою складності.
Поширені помилки
Зберігання двох часток у одній локації перемагає мету географічної надмірності. Зберігання часток з видимою маркою гаманця перемагає opsec. Забування, який T ви використали, щоб розділити (було 2-of-3 або 3-of-5?) робить реконструкцію методом проб і помилок. Пишіть threshold на кожній частці, чітко: "2/3 — Trezor SLIP-39 — Cofre do Holder setup, травень 2026".
Подальше читання: Multisig, Мнемоніка, П'ять способів зберігати сід-фразу.