Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Shamir Backup
Search
shigeyuki azuchi
January 14, 2020
Technology
0
330
Shamir Backup
GBEC動画解説コンテンツのスライドです。
https://goblockchain.network/2020/01/shamir-backup/
shigeyuki azuchi
January 14, 2020
Tweet
Share
More Decks by shigeyuki azuchi
See All by shigeyuki azuchi
DahLIAS: Discrete Logarithm-Based Interactive Aggregate Signatures
azuchi
0
2
Fiat-Shamir変換と注意点
azuchi
0
51
AssumeUTXOを利用したブロックチェーンの同期
azuchi
0
9
BIP-374 離散対数の等価性証明
azuchi
0
28
BIP-353 DNS Payment Instructions
azuchi
0
44
OP_CAT and Schnorr Trick
azuchi
0
42
Pay to Anchorと1P1Cリレー
azuchi
0
43
プロアクティブ秘密分散法
azuchi
0
62
v3トランザクションリレー
azuchi
0
59
Other Decks in Technology
See All in Technology
個人でデジタル庁の デザインシステムをVue.jsで 作っている話
nishiharatsubasa
3
5.3k
新米エンジニアをTech Leadに任命する ー 成長を支える挑戦的な人と組織のマネジメント
naopr
1
340
datadog-incident-management-intro
tetsuya28
0
110
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
10xinc
7
1.7k
Open Table Format (OTF) が必要になった背景とその機能 (2025.10.28)
simosako
3
580
OPENLOGI Company Profile for engineer
hr01
1
46k
InsightX 会社説明資料/ Company deck
insightx
0
150
境界線が消える世界におけるQAエンジニアのキャリアの可能性を考える / Considering the Career Possibilities for QA Engineers
mii3king
2
110
AI連携の新常識! 話題のMCPをはじめて学ぶ!
makoakiba
0
170
Observability — Extending Into Incident Response
nari_ex
1
680
kotlin-lsp の開発開始に触発されて、Emacs で Kotlin 開発に挑戦した記録 / kotlin‑lsp as a Catalyst: My Journey to Kotlin Development in Emacs
nabeo
2
150
AWSが好きすぎて、41歳でエンジニアになり、AAIを経由してAWSパートナー企業に入った話
yama3133
2
220
Featured
See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
Stop Working from a Prison Cell
hatefulcrawdad
272
21k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.5k
Why You Should Never Use an ORM
jnunemaker
PRO
60
9.6k
Art, The Web, and Tiny UX
lynnandtonic
303
21k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
Music & Morning Musume
bryan
46
6.9k
Bash Introduction
62gerente
615
210k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
2
200
Leading Effective Engineering Teams in the AI Era
addyosmani
7
680
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
140
34k
Transcript
【Bitcoin】Shamir Backup
1. Shamir Backupの概要 2. シャミアの秘密分散法 3. SLIP-0039 a. 2段階のシェアの分割 b.
シェアのフォーマット定義 c. シェアのニーモニック変換 1 今日話すこと Shamir Bakcup
Trezor Model Tが新しい秘密鍵のバックアップ方法として Samir Backup機能を導入 https://blog.trezor.io/shamir-backup-the-revolution-of-private-keys-backup-is-here-858687ed7fe7
• マスターシードをシャミアの秘密分散法を利用して複数のシェアに分割。 • 分割したシェアは20個の単語で表現される。 • ユーザーが予め指定した数分のシェアを集めるとマスターシードが復元可能。 (例:2-of-3, 3-of-5など) 2 TrezorのShamir Bakcup
3 Shamir Backupの利用イメージ ① Shamir Backupのウォレットを作成 ② 生成するシェアの数を指定 ③
閾値を指定 ④ 1つのシェア毎に生成される20個のワードを記録 Share Share Share Share Share 各シェアを分散して保存 シェアが閾値分集まればリカバリー可能 ※ Shamir Backupに使われるワードリストは、通常の バックアップで使われるものとは異なる。
4 シャミアの秘密分散法とは? 秘密の値をN個のシェアに分割し、そのシェアをT個集めると秘密の値を 復元できる暗号技術の一種。 1. シェアの数Nと閾値Tを決める。 2. T-1次の多項式を生成する。 f(x)
= a t-1 ・xt-1 + a t-2 ・xt-2 + a t-3 ・xt-3 + … a 1 ・x+ s a t-1 〜a 1 の係数はランダムに決定、通常、定数項f(0)=sが秘密の値 3. 生成した多項式を使ってシェア(x, f(x))を作成する。 4. シェアをT個集めると、そのシェアから多項式を復元できるため、 復元した多項式から秘密の値sが分かる。 ※ T個より少ないと復元できない
5 シャミアの秘密分散法とは? 1. シェアの数N=5と閾値3を決める。 2. T-1=2次の多項式を生成する(秘密の値=35)。 f(x) = 23・x2 +
15・x + 35 3. 生成した多項式を使って5つのシェアを作成する。 (3, 287), (18, 7757), (31, 22603), (11, 2983), (22, 11497) 4. シェアを3個集めると、そのシェアから多項式を復元できる。 287 = 9a + 3b + c 2983 = 121a + 11b + c 22603 = 961a + 31b + c ラグランジュ補完を利用することでT個のシェアからT-1次の多項式を 求める事ができる。 f(x) = 23・x2 + 15・x + 35 a, b, cが計算できるので
6 SLIP-0039 シャミアの秘密分散法を利用する際の標準化および シェアのニーモニックへの変換方法を定義した仕様 https://github.com/satoshilabs/slips/blob/master/slip-0039.md • 2段階のシェア分割
2つのシェアで シークレットを復元したい Share A Share B 2つのシェアが破損した場合 • 5人の友人の内3人 • 6人の家族の内2人 のシェアがあればシークレットを復元でき るようにしたい 友人 家族 Share Share Share Share Share Share Share Share Share Share Share シェアの分割を2段階で行う 1. 2-of-4でシェアを分割 シェアA, B, C, D 2. A, Bはアリスが保持 3. Cをさらに3-of-5で分割し友人に配布 4. Dをさらに2-of-6で分割し家族に配布 ※ 友人が全員共謀してもシークレットは復元できない。 ※ 家族が全員共謀してもシークレットは復元できない。 ※ 友人と家族が共謀した場合、シークレットは復元できる。 2段階にしない場合は、最初に単一グループのシェアを作成し、それをN 個のシェアに分割する。 Share C Share D
7 SLIP-0039 • シェアのフォーマットを定義 • シェアをニーモニックワードに変換
シェアを10bit毎のセグメントに分割し、それをワードリストのインデックスとして利用 し、ニーモニックワードに変換する。 https://github.com/satoshilabs/slips/blob/master/slip-0039/wordlist.txt マスターシークレットが128 bitsの場合、20ワードになる。 • パスフレーズを用いたマスターシークレットの暗号化 • シークレットは多項式f(255)の値となる。 識別子 反復指数 グループ インデックス グループ 閾値 グループ数 メンバー インデックス x メンバー閾値 パディングされた シェア f(x) チェックサム 15 bits 5 bits 4 bits 4 bits 4 bits 4 bits 4 bits パディング+ 8n bits 30 bits
8 まとめ • TrezorのShamir Backupはシャミアの秘密分散法を利用して マスターシークレットを分散管理するための仕組み。 • ウォレット間で相互運用性を担保するためSLIP-0039で標準化の提案。 ※実際に標準化されるかは他のウォレットの採用次第なところも。 ◦
2段階のシェアの分割をサポート ◦ シェア⇔ニーモニックの変換仕様を定義 • 秘密分散法自体は広く利用されており、暗号通貨の秘密鍵管理以外にも 多くの応用がある。 ◦ 単純にマスターシークレットを復元するのではなく、閾値署名と 組み合わせることで、t-of-nの閾値署名の署名値を導出することも可能。
azuchi
nishiharatsubasa
naopr
tetsuya28
10xinc
simosako
hr01
insightx
mii3king
makoakiba
nari_ex
nabeo
yama3133
destraynor
hatefulcrawdad
sstephenson
honnibal
jnunemaker
lynnandtonic
pedronauck
bryan
62gerente
tammyeverts
addyosmani
eileencodes
