Разделение секрета Шамира (SSS)
Полностью браузерная реализация схемы разделения секрета Ади Шамира 1979 года. Выберите, сколько частей создать (N до 255) и сколько нужно для восстановления (K — порог). Распределите части между людьми, устройствами или банковскими ячейками. Пока K из них уцелеют — секрет восстановим; с меньшим K секрет математически неотличим от случайного шума.
Как пользоваться
Сколько частей и сколько нужно для восстановления. Типичные: 2-из-3 для личного, 3-из-5 для команды, 5-из-7 для эскроу.
Мастер-пароль, seed-фраза, ключ — до нескольких сотен байт.
Каждую часть — отдельному человеку, устройству, локации.
Соберите K частей, вставьте в Объединить — секрет восстановлен.
Разделите мастер-пароль или seed-фразу на N частей — любые K восстанавливают, меньше не дают ничего
Что делает схема Шамира
- Безусловная (information-theoretic) стойкость: меньше K частей дают НИЧЕГО о секрете — даже его длины.
- Каждая часть содержит небольшой заголовок (версия, порог, идентификатор набора) плюс 4-байтовую метку целостности, поэтому при объединении инструмент может проверить корректность восстановления и чётко указать на несовпадающие или недостаточные части.
- Стандартная байтовая схема над GF(2⁸) — та же алгебра, что в AES, проверенная десятилетиями.
- Распределите части между людьми, устройствами, географическими локациями. Восстановление требует только K из них.
- Эта реализация НЕ добавляет пароль поверх — части САМИ являются защитой. Если часть утекает, вы теряете долю запаса.
Возможности
Частые вопросы
Чем это отличается от шифрования с раздачей пароля?
Шифрование делит секрет на шифротекст + ключ — кто имеет оба, имеет всё. Шамир делит сам секрет на N частей; нужны K, и K−1 не дают НИЧЕГО математически (а не только вычислительно).
Какое (K, N) хорошее?
2-из-3 — частый дефолт для физлица. 3-из-5 для команды. Больше K — меньше риск компрометации; больше N — лучше выживаемость при потерях.
Можно доверять реализации?
Используется стандартная байтовая схема Шамира над GF(2⁸) — та же конструкция, что в Hashicorp Vault, Trezor SLIP-0039 (шардированные бэкапы BIP-39) и большинстве других продакшен-реализаций SSS. Разделение и объединение выполняются в вашем браузере через Web Crypto API.
А если часть потеряна?
Пока остаются хотя бы K частей, секрет восстановим. Распределяйте N > K для запаса.
А если часть утекла к атакующему?
Если утекло меньше K — секрет в безопасности. Стоит сменить секрет и распределить новые части.
Какой формат частей используется?
В основе лежит каноническая байтовая схема над GF(2⁸) со стандартным редукционным полиномом 0x11b. Каждая часть упакована в небольшой самоописывающийся контейнер (версия, порог, идентификатор набора и метка целостности), чтобы инструмент мог проверить восстановление и обнаружить несовпадающие части — восстанавливайте части этим инструментом, а не сырой библиотекой GF(256).
Мы можем! Просто отправьте нам сообщение с вашим пожеланием. Если хотите обсудить детали — оставьте свою почту, и мы с вами свяжемся. Можно анонимно.