Shamir's Secret Sharing

Shamir's Secret Sharing (SSS) ist ein kryptografisches Verfahren, das ein Geheimnis – etwa einen privaten Schlüssel oder eine Seed-Phrase – mathematisch in mehrere Teile (Shares) zerlegt, von denen nur eine definierte Mindestanzahl zur Rekonstruktion des Originals ausreicht.

Mathematisches Prinzip

Das Verfahren wurde 1979 vom israelischen Kryptografen Adi Shamir veröffentlicht und basiert auf polynomialer Interpolation. Der Grundgedanke: Durch k Punkte lässt sich exakt ein Polynom vom Grad (k−1) legen. Der Algorithmus konstruiert ein solches Polynom, bei dem der konstante Term das Geheimnis darstellt. Aus dem Polynom werden n Punkte berechnet und als Shares ausgegeben. Um das Geheimnis zurückzugewinnen, genügt es, k dieser Punkte zusammenzuführen und mittels des Lagrange-Basis-Polynoms den konstanten Term zu rekonstruieren. Entscheidend: Wer weniger als k Shares besitzt, erhält mathematisch keinerlei Information über das Geheimnis – nicht einmal eine Teilinformation.

Schwellenwert-Schema und praktische Anwendung

Das Ergebnis ist ein sogenanntes k-von-n-Schema. Gängige Konfigurationen sind etwa 2-von-3 oder 3-von-5: Bei einer 2-von-3-Aufteilung werden drei Shares erzeugt, von denen beliebige zwei zur Wiederherstellung ausreichen – der dritte kann verloren gehen oder zerstört werden, ohne dass das Geheimnis verloren ist.

Im Kontext von Kryptowährungen wird SSS vor allem zur gesicherten Verwahrung von Wallet-Schlüsseln eingesetzt. Statt eine einzige Seed-Phrase an einem einzigen Ort aufzubewahren, lassen sich mehrere Shares an geografisch getrennten Orten oder bei verschiedenen Vertrauenspersonen lagern. Ein einzelner Einbruch, Brand oder Diebstahl kompromittiert das Geheimnis dann nicht. Der Hardware-Wallet-Hersteller Trezor implementiert dieses Prinzip unter dem Namen „Shamir Backup": Die Wiederherstellungsphrase wird dabei in bis zu 16 Shares aufgeteilt, jeder Share besteht aus einer eigenen Folge von 20 oder 33 Wörtern aus einem definierten Open-Source-Wortschatz.

Abgrenzung zu Multisig

SSS und Multisignatur-Verfahren (Multisig) ähneln sich im Schwellenwert-Gedanken, unterscheiden sich aber grundlegend: Bei SSS wird ein einzelner Schlüssel rekonstruiert und dann verwendet – die Zusammenführung der Shares findet an einem einzigen Punkt statt, was ein temporäres Sicherheitsrisiko darstellt. Multisig hingegen verteilt die Signaturverantwortung über mehrere unabhängige Schlüssel, ohne dass jemals ein gemeinsamer privater Schlüssel existiert. Für die reine Backup-Sicherung ist SSS pragmatisch und breit kompatibel; für laufende Transaktionssicherheit auf Protokollebene bietet Multisig strukturelle Vorteile.

Verwandte Begriffe

• Hardware Wallet
• Hardware-Wallet-Recovery
• Cold Wallet
• Hierarchisch deterministische Wallet