La conciencia de la propia mortalidad es un signo de madurez, al igual que el reconocimiento de la importancia fundamental de asegurar el propio bitcoin.
En el apogeo de la carrera alcista de 2017, me encontré con un post aleccionador. Decía algo así: había un joven que adquirió unos 20 bitcoin al principio. A medida que el precio pasó de $ 1,000 a casi $ 20,000 en el transcurso de 2017, se sintió rico más allá de sus sueños más locos y decidió viajar un poco. En un momento dado estuvo en México en un bonito hotel y se fue de fiesta junto a una piscina en la azotea. Las cosas se salieron de control, luego se cayó a la calle y murió. El autor de esta publicación en particular era un amigo de la familia del hombre y quería saber si había alguna forma de acceder al bitcoin. Sin embargo, el joven utilizaba un Trezor protegido con contraseña y no la había anotado en ningún lado. El bitcoin se perdió así junto con la vida del hombre.
El Bitcoin es un instrumento al portador, lo que significa que no es suficiente con que sus supervivientes conozcan cuánto posee; tienen que poder acceder a las claves. Por otro lado, no necesariamente usted quiera que su familia tenga acceso a su bitcoin mientras aún está vivo. Por lo tanto, es necesario que exista algún tipo de plan de respaldo que permita la administración de acceso. La copia de seguridad de Shamir permite precisamente este caso de uso.
Pero antes de llegar a los detalles de cómo funciona la copia de seguridad de Shamir, hagamos un breve resumen de lo que son las copias de seguridad de semillas.
COPIA DE SEGURIDAD DE SEMILLAS
En los humildes comienzos de Bitcoin, era un desafío hacer copias de seguridad correctamente. Antes de la invención de las billeteras deterministas, todas las claves privadas individuales tenían que ser respaldadas, y podían ser cientos de claves. Como era de esperar, se perdieron muchos bitcoins debido a este torpe proceso de copia de seguridad. En 2012, a Pieter Wuille se le ocurrió la ingeniosa invención de las carteras deterministas jerárquicas (carteras HD, estandarizadas por BIP32 [ENG]) que facilitaban mucho las copias de seguridad: los usuarios tenían que asegurar solo una semilla maestra, a partir de la cual se generaban las claves privadas individuales. Un año después, el BIP39 [ENG] estandarizó la semilla mnemotécnica, un grupo de palabras en un orden particular que cumple la función de copia de seguridad de la billetera HD. Con la semilla mnemónica, las copias de seguridad se hicieron mucho más fáciles, ya que hay poco margen de error al escribir palabras comunes, en comparación con la escritura de una cadena aleatoria de letras y números.
Por lo tanto, hoy en día no hace una copia de seguridad de su clave privada como tal, sino de la semilla de recuperación, generalmente en forma de 12 o 24 palabras en un orden determinado. Puede perder su teléfono o romper su billetera física (hardware), pero aún podrá acceder a su bitcoin si tiene la semilla de recuperación almacenada de manera segura.
Almacenar la semilla de recuperación de forma segura es la parte complicada. Tenemos que proteger la semilla de los siguientes dos riesgos:
- Robo: la semilla de recuperación debe protegerse contra el uso indebido por parte de extraños;
- Pérdida: su riqueza en bitcoins no debería depender de una sola copia de la semilla de recuperación, de modo que en caso de accidente (inundación, incendio, etc.) no pierda sus bitcoins.
Si bien el riesgo de robo requiere la menor cantidad posible de copias, preferiblemente solo una en su hogar, el riesgo de pérdida requiere lo contrario. Tener solo una copia de su semilla de recuperación es literalmente jugar con fuego. Por lo tanto, debe tener varias copias en una multitud de ubicaciones físicas, pero debe asegurarse de que no se utilicen incorrectamente, incluso si las encuentra un extraño. Una semilla de recuperación simple basada en una lista de una sola palabra no puede cumplir con este criterio.
ENTRA SHAMIR
La partición secreta de Shamir (SSS) es una técnica criptográfica formulada en 1979 por el criptógrafo israelí Adi Shamir. La esencia del plan de Shamir radica en la capacidad de hacer una copia de seguridad, compartir y recuperar un secreto al dividir el secreto en varias porciones que son inútiles individualmente y no filtran información sobre el secreto o la configuración del esquema.
Hay dos parámetros importantes relevantes para SSS: las porciones, o cuántas partes del secreto hay; y el umbral, o cuántas acciones necesitamos combinar para recuperar el secreto.
Por ejemplo, una “copia de seguridad Shamir de 3 de 5” significa que el usuario creó cinco partes al configurar el esquema y el requisito de umbral para acceder al secreto original es de tres partes. No importa cuáles son las tres porciones que se utilicen para recuperar el secreto.
Esto significa que Alice puede hacer una copia de seguridad de su semilla, por ejemplo, de la siguiente manera (asumiendo la copia de seguridad de 3 de 5 Shamir):
- dos partes en su casa
- una parte en la casa de un amigo cercano
- una parte en la casa de su mamá
- una parte en la caja de seguridad del banco
Por supuesto, las acciones individuales están en forma analógica: escritas a mano en papel o estampadas en una hoja de metal (usando Cryptosteel, Cryptotag u otras soluciones similares). Alice es muy consciente de que nunca debe anotar las partes en una computadora conectada a Internet ni guardar una copia digital.
Con este arreglo, Alice no tiene que preocuparse por perder el acceso a su bitcoin incluso si su casa se incendia, porque puede recuperar el acceso recolectando las acciones restantes de su amiga, su madre y la caja de seguridad. Tampoco tiene que preocuparse por el robo porque ninguna ubicación cumple con el umbral necesario para acceder a las monedas.
La partición secreta de Shamir es, por lo tanto, una solución perfecta al dilema del robo / pérdida, ya que las acciones aisladas son inútiles por sí mismas, y Alice incluso puede perder algunas de las acciones sin perder el acceso a su bitcoin.
El esquema original de Shamir ha existido desde 1979, pero solo se estandarizó adecuadamente para su uso en copias de seguridad de semillas a fines de 2017. El estándar se llama SLIP-0039: Shamir’s Secret-Sharing for Mnemonic Codes [ENG] y está completamente abierto para que cualquiera pueda estudiar, compartir e implementar en sus productos.
Las copias de seguridad de Shamir basadas en SLIP-39 son utilizadas por Trezor (Modelo T), la billetera Hermit de Unchained Capital, y otros también han comenzado a adoptar el estándar.
PLANIFICACIÓN DE LA HERENCIA CON SHAMIR BACKUP
Las mismas cualidades que hacen que la copia de seguridad de Shamir sea eficaz para la seguridad diaria también la hacen adecuada para la planificación de herencias. Cuando Alice tiene sus acciones de recuperación distribuidas como se describe anteriormente, lo único que debe hacer para garantizar la sucesión es escribir una guía clara para sus supervivientes.
Ahora bien, esto puede parecer fácil, pero escribir la guía de herencia debe hacerse con el debido cuidado. He aquí lo que hay que hacer y lo que no hay que hacer:
- no le cuente a su ser querido sobre el plan de Shamir, escríbalo; si solo le dijera a alguien, probablemente olvidaría los detalles (o en el peor de los casos, la persona puede morir junto a usted en algún accidente);
- escriba la guía con lápiz y papel; nunca lo escriba en su computadora, nunca guarde una copia digital;
- explicar qué es la copia de seguridad de Shamir en primer lugar y por qué la recuperación debe llevarse a cabo con sumo cuidado (por ejemplo, las partes nunca deben escribirse en un sitio web, nunca deben enviarse a extraños que “intentan ayudar” a través de Internet);
- describir la cantidad total de acciones, el umbral y las instrucciones para descubrir la ubicación de las partes;
- guarde la guía de herencia en un sitio seguro y controlado al que puedan acceder sus seres queridos en caso de su muerte; la caja fuerte de su hogar puede funcionar mejor, aunque el sitio apropiado depende de las circunstancias individuales;
- no haga que la guía de herencia de bitcoins forme parte de su última voluntad; esto puede poner en peligro a los sobrevivientes, ya que la última voluntad es un documento de acceso público en algunas jurisdicciones;
- actualice la guía de herencia en caso de que algo cambie (por ejemplo, la ubicación de los recursos compartidos);
Y, por supuesto, si tiene bitcoins en hot wallets, cuentas de cambio u otros servicios, también debe informar a sus sobrevivientes sobre estos. Idealmente, todos los satoshi deberían ser accesibles para sus seres queridos en caso de que algo le suceda.
Pero quizás el consejo más importante es ponerse en la piel de un nocoiner. Porque si su familia aún no es lo suficientemente “naranja”, es probable que cometan errores fatales si están confundidos. Por lo tanto, trate de ser lo más claro posible sobre lo que ha dejado atrás y cómo acceder a ello de manera segura, sin ser víctima de estafadores, intentos de phishing, etc. Considere recomendar un amigo bitcoiner de confianza para ayudar a su familia. Tenga mucho cuidado con a quién recomienda, pero también sepa que si no recomienda a nadie a su familia, es posible que se comuniquen con extraños en Internet. E incluso si su amigo no demuestra ser tan confiable como pensaba, su familia tendrá recursos legales contra una persona conocida, lo que no sería el caso si fueran estafados por un extraño.
¿SHAMIR O MULTISIG?
No todo el mundo es fanático de las copias de seguridad de Shamir. Hace algún tiempo, Jameson Lopp (Casa) escribió un análisis de las supuestas deficiencias de Shamir [ENG] y recomendó opciones de múltiples firmas en su lugar. El análisis de Lopp es justo y debería abordarse aquí.
En primer lugar, es cierto que los intentos anteriores del esquema de Shamir para su uso en copias de seguridad de semillas fueron descuidados, como señaló Lopp. Sin embargo, es un asunto diferente con SLIP39. El estándar se escribió a fines de 2017, pero se implementó en la billetera de Trezor solo en el verano de 2019. No se ha encontrado ninguna vulnerabilidad en los dos años anteriores a la primera implementación en el mundo real, ni en los dos años siguientes. Y no hay ninguno, ya que las matemáticas detrás del SLIP39 son simplemente correctas. Si no fuera así, se habría encontrado una vulnerabilidad hace años.
Además, las copias de seguridad y las funciones múltiples de Shamir resuelven un caso de uso ligeramente diferente. Las copias de seguridad de Shamir resuelven el problema de proteger la semilla de recuperación. Multisigs ofrece una seguridad mejorada al realizar transacciones. En realidad, los dos se pueden combinar: puede tener un esquema de múltiples firmas, donde la semilla de recuperación de cada billetera individual está protegida a través de las copias de seguridad de Shamir.
Tanto las copias de seguridad de múltiples firmas como las de Shamir se basan en la lejanía física de los elementos (partes firmantes o acciones de Shamir) para su seguridad. Por lo tanto, configurar y utilizar ambos planes requiere mucho tiempo.
Para Shamir, esto no es un problema, ya que por lo general solo necesita lidiar con su semilla cuando configura su billetera y luego cuando realiza una recuperación (que puede tardar años en el futuro).
Para los esquemas de múltiples firmas, los usuarios se enfrentan a un problema práctico de coordinación, ya que usted depende de la participación activa y continua de partes físicamente remotas siempre que necesite firmar transacciones, que pueden ser varias veces al mes, si no más a menudo. Si bien esto es factible para organizaciones formales como fondos de cobertura o corporaciones, es bastante impracticable para las personas, a menos que paguen a un tercero que ofrezca ese servicio como su negocio.
El problema de coordinación puede mitigarse eligiendo una configuración multigrado en la que los usuarios mantengan el umbral necesario (por ejemplo, 2 de 5) en su propia casa. Esta configuración es más práctica que aquella en la que todas las claves se distribuyen físicamente, pero elimina una de las ventajas de las multisigs: la imposibilidad de realizar transacciones bajo presión. Pero para ser justos, Shamir por sí sola tampoco protege contra escenarios de ataques físicos como la intrusión en el hogar, si el usuario tiene su Trezor configurado y disponible de inmediato.
Multisigs todavía tiene muchas trampas cuando se trata de la verificación de transacciones y la realización de copias de seguridad de toda la configuración. Es de esperar que estos se resuelvan con estándares de la industria ampliamente aceptados en el futuro, pero hasta que eso suceda, no son realmente utilizables para hodlers comunes y no técnicos. Las copias de seguridad de Shamir son útiles y prácticas en la actualidad.
Las copias de seguridad de Shamir son eficaces para prevenir tanto el robo como la pérdida. También son una forma inteligente de transmitir bitcoins por herencia. Además de crear la copia de seguridad de Shamir en sí, la planificación de la herencia requiere instrucciones claras por escrito para los sobrevivientes. Shamir se puede usar en una forma múltiple o solo y es una solución práctica para aumentar el nivel de seguridad sin la necesidad de múltiples billeteras.