Wie Teile ich meinen privaten Schlüssel am besten auf?

[virginorange]

Die Aufteilung deines privaten Schlüssels schützt dich vor Dieben.
Erlangt ein Bösewicht Zugriff auf ein Backup, hat er nicht ausreichend Informationen, um deinen privaten Schlüssel wiederherzustellen.

Cricktor verwahrt seine Bitcoin sehr professionell und nutzt unter anderem Shamir Secret Sharing in einer 4-von-7-Aufteilung.

per Shamir Secret Sharing (SSS) in einer 4-von-7-Aufteilung ortsredundant verteilt

In diesem Zusammenhang möchte ich die Vor- und Nachteile einzelner Aufteilungsmethoden diskutieren. Damit du die beste Methode für deine individuelle Situation findest.



Option 1: naive Aufteilung

Systematik
 ● Passwort: ABCDEFGHIJKLMNOPQRSTUVWYZabcdefghij
 ● Zettel 1: ABCDxFGHxJKxMxxPQRxTUxWxxabxdxxgxxx
 ● Zettel 2: ABCxEFGxIJxLxNxPQxSTxVxYxaxcxexxhxx
 ● Zettel 3: ABxDEFxHIxKLxxOPxRSxUVxxZxbcxxfxxix
 ● Zettel 4: AxCDExGHIxxxMNOxQRSxxxWYZxxxdefxxxj
 ● Zettel 5: xBCDExxxxJKLMNOxxxxTUVWYZxxxxxxghij
 ● Zettel 6: xxxxxFGHIJKLMNOxxxxxxxxxxabcdefghij
 ● Zettel 7: xxxxxxxxxxxxxxxPQRSTUVWYZabcdefghij

+ einfach umzusetzten, keine extra Software nötig, kein Backup der Software nötig, kein Vertrauen auf die Software nötig, privater Schlüssel muss in keinen PC eingegeben werden
- für einen vollständigen Schlüssel sollen 4 Teile erforderlich sein. Mit 3 von 7 Teilen hat man schon 6/7 der Information. Damit in den verbleibenden 1/7 noch genügen Entropie bleibt, benötigen wir lange Passwörter bzw. Seed Wörter in der Größenordnung von 70 bis 140 Zeichen bzw. 84 Seed Wörtern. Dies ist unbequem in der Anwendung.


Option 2: Multisig-Aufteilung

Bei einer 4 of 7 Multisig-Wallet benötigst du zum Erstellen der Wallet 7 Teile und zum signieren einer Transaktion 4 Teile.

+ 3 von 7 Teilen nützen einem Angreifer nichts, dies ermöglicht wesentlich kürzere Passwörter (z.B. 20 Zeichen)
+ Multisig ist standard, kein Softwarebackup nötig
- du benötigst mehrere Datenträger mit einem Backup des Walletfiles und muss dich darum kümmern
- Besitzer des Wallet files können deine Transaktionen nachverfolgen


Option 3: Shamir's secret sharing

zu Hause 1: Shamir 1
zu Hause 2: Shamir 2
Kind 1: Shamir 3
Kind 2: Shamir 4
Arbeit: Shamir 5
Freund: Shamir 6
Verwandter: Shamir 7

+ 3 von 7 Teilen nützen einem Angreifer nichts
- Shamir benötigt eine Software,  diese Software müssen wir sichern, die Software wird i.d.R. auf einem PC laufen, deinen privaten Schlüssel in einen PC einzugeben ist riskant



Option 2b: BIP85-Multisig-Aufteilung: du oder 2 Erben mit Hilfe einem deiner Freunde

In der Praxis sind nicht alle Orte gleich wichtig. Anstelle mehrere Multisig-Teile an einem Ort gibt es Alternativen.

zu Hause: Eltern-Seed
Kind 1: Kinder-Seed 1, Wallet File
Kind 2: Kinder-Seed 2, Wallet File
Freund 1: Kinder-Seed 3
Freund 2: Kinder-Seed 4

Wallet = Multisig 3 of 4 Kinder-Seeds

Wenn du stiebst können dein beiden Kindern plus 1 Freund die Wallet wiederherstellen.
Du selbst behält vollen Zugriff, weil du die Kinder-Seeds und die Wallet immer wieder allein vom Eltern-Seed ableiten kannst.


Option 1b: naive Aufteilung mit nur 2 of 2 Teilen

Für eine 4 von 7 Aufteilung ist die natie Aufteilung schlecht geeignet. Bei 3 von 7 Teilen fehlt dem Angreifer 1/7 der Entropie.
Für eine 2 of 2 Aufteilung ist die naitve Aufteilung viel besser geignet. Bei 1 von 2 Teilen fehlt dem Angreifer 1/2 der Entropie.
Bei einer 2 of 3 Aufteilung fehlt dem Angreifer 1/3 der Entropie.

Gehirn: 24 Seed Wörter

z.H. 1a: 24 Seed Wörter Teil 1
z.H. 1b: 24 Seed Wörter Teil 2

z.H. 2a: 24 Seed Wörter Teil 1
z.H. 2b: 24 Seed Wörter Teil 2

Kind 1: 24 Seed Wörter Teil 1
Kind 2: 24 Seed Wörter Teil 2

Arbeit: 24 Seed Wörter Teil 1 (versteckt)
Freund: 24 Seed Wörter Teil 2 (versteckt)

-> du hast per Gedächtnis Zugriff, zu Hause Zugriff, deine beiden Kinder haben gemeinsam Zugriff und außer Haus hast du mit Arbeit und Freund auch nochmal Zugriff

Effenktiv haben wir hier mehrere naive 2 of 2 Aufteilungen.


Option 1c: naive Aufteilung mit 2 of 3 Teilen

Wir schützten uns etwas mehr:
Deine Verwandten sollen sich nicht mehr gegen dich verbünden können.

Gehirn: 24 Seed Wörter und 12 Wörter Passphrase

z.H. 1a: 24 Seed Wörter Teil 1
z.H. 1b: 24 Seed Wörter Teil 2
z.H. 1c: 12 Wörter Passphrase

z.H. 2a: 24 Seed Wörter Teil 1
z.H. 2b: 24 Seed Wörter Teil 2
z.H. 2c: 12 Wörter Passphrase

Kind 1: 24 Seed Wörter Teil 1
Kind 2: 24 Seed Wörter Teil 2

Freund 1: 12 Wörter Passphrase
Freund 2: 12 Wörter Passphrase
Arbeit: 24 Seed Wörter Teil 1 (versteckt), 12 Wörter Passphrase
Verwandter: 24 Seed Wörter Teil 2

+ Seed Wörter und Passphrase lassen sich einfach auf der Hardware-Wallet zusammen setzten
- geringes Risiko alle Teile einer Kategorie zu verlieren (z.B. alle Passphrases)


Option 1d: naive Aufteilung mit 2 of 3 Teilen

Wir schützten uns noch mehr:
Dein Haus und dein Hirn ist ebenfalls nicht ausreichend für einen Raub.

Gehirn: 24 Seed Wörter

z.H. 1a: 24 Seed Wörter Teil 1
z.H. 1b: 24 Seed Wörter Teil 2

z.H. 2a: 24 Seed Wörter Teil 1
z.H. 2b: 24 Seed Wörter Teil 2

Kind 1: 24 Seed Wörter Teil 1
Kind 2: 24 Seed Wörter Teil 2

Freund 1: Passphrase Zeichen 1 bis 20
Freund 2: Passphrase Zeichen 1 bis 20
Arbeit: 24 Seed Wörter Teil 1 (versteckt), Passphrase Zeichen 1 bis 20
Verwandter: 24 Seed Wörter Teil 2 (versteckt)
Cloud 1 (mit verzögertem Zugriff): Passphrase Zeichen 1 bis 20
Cloud 2 (mit verzögertem Zugriff): Passphrase Zeichen 1 bis 20

+ Seed Wörter und Passphrase lassen sich einfach auf der Hardware-Wallet zusammen setzten
+ die Passphrase ist an sich schon unauffällig und einget sich daher gut zu Lagerung außer Haus
+ Erlangt ein Bösewicht 2 von 3 Teilen fehlt ihm genügend Entropie
- geringes Risiko alle Teile einer Kategorie zu verlieren (z.B. alle Passphrases)


Welche Aufteilung des privaten Schlüssels hält ihr am sinvollsten?

[Turbartuluk]

Option 1: naive Aufteilung

Geheimnis: abcdefg hijklmn opqrstu vwxyzAB
Teil 1: abcdxxx hijkxxx opqrxxx vwxyxxx
Teil 2: abcxxxg hijxxxn opqxxxu vwxxxxB
Teil 3: abxxxfg hixxxmn opxxxtu vwxxxAB
Teil 4: axxxefg hxxxlmn oxxxstu vxxxzAB
Teil 5: xxxdefg xxxklmn xxxrstu xxxyzAB
Teil 6: xxcdefx xxjklmx xxqrstx xxxyzAx
Teil 7: xbcdexx xijklxx xpqrsxx xwxyzxx

Hier scheint ein Fehler vorzuliegen, da mitunter 2 Teile zur Wiederherstellung des Geheimnisses ausreichen (z.B. Teil 1 + Teil 4).

Hab mich jetzt nen paar mal dran versucht das so aufzuteilen, dass man immer genau 4/7 Teilen zur Wiederherstellung braucht, habs aber auf die schnelle nicht hinbekommen. Ich werde ggf. später nochmal dran probieren.

Bzw. Ist das vermutlich genau das was du mit "ungeeignet" meinst.

[virginorange]

Hier scheint ein Fehler vorzuliegen, da mitunter 2 Teile zur Wiederherstellung des Geheimnisses ausreichen (z.B. Teil 1 + Teil 4).

Heute Nacht bin ich um 3:00 aufgewacht und mir gedacht, diesen Fehler musst du schnell noch korrigieren, bevor er jemandem auffällt. Ich habe dann mal alle naiven Aufteilungen m von n (bis 7) systematisiert. Aber das klügste / schnellste Gehirn hat meinen Fehler schon gefunden. Danke dir!


Ein Dieb kann uns bestehlen, wenn er unseren privaten Schlüssel vollständig findet
oder so viel von unserem privaten Schlüssel findet, dass er den Rest erraten kann (=Brute-force).
Deswegen verteilen wir unseren privaten Schlüssel.

Vor- und Nachteile Multisig vs. SSS vs. Naiv
- Der Nachteil der SSS-Methode (shamir secret sharing) ist, wir brauchen Software. Risiko: Shamir's secret sharing Software geht verloren oder der Schlüssel wird auf dem Rechner ausspioniert.
- Der Nachteil der Multi-Sig ist, wir brauchen entweder alle Teile zum Wiederherstellen der Wallet oder müssen zusätzlich auf unser Wallet File aufpassen.
+ Eine naive Aufteilung des Schlüssels erfolgt händisch ohne PC sowie ohne Software und beugt so Spionage und Datenverlust vor.
- Der Nachteil der nativen Aufteilung auf mehrere Zettel ist, dass ein Angreifer mit jedem Zettel bereits ein Stück unseres privaten Schlüssels kennt. Bei einer 2 of 3 Wallet z.B. kennt der Angreifer bereits mit dem ersten Teil 2/3 deines privaen Schlüssels. Die lässt sich durch einen 3x längeren Schlüssel kompensieren, was unbequem ist.


Wie lange können wir daher unsere naive Aufteilung verwenden, bevor wir auf Multisig oder SSS wechseln müssen?

Entropie gewünscht (bit):   128

Veranschaulichung der Entropie:
 ● 128 Bit entropie entsrpechen knapp 23 Zeichen (A-Z, a-z, 0-9 ohne xX) oder 12 Seed Wörtern
 ● 24 Seed Wörter + 23 Zeichen Passphrase entsprechen 384 Bit Entropie oder umgerechnet rund 69 Zeichen
 ● mehr als 24 Seed Wörter + 46 Zeichen Passphrase bzw. 48 Seed Wörter möchte ich nicht aufbewahren ▶ das entsprcht einer Obergrenze von 86 Zeichen

Wallet-Aufstellung: 2 of 2
■ Naive Aufteilungssystematik
   ● Passwort: AB
   ● Zettel 1: Ax
   ● Zettel 2: xB
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 50%
   ● 2 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 46 Zeichen
   ● 2 Zettel: unmöglich
▶ z.B. eine Aufteilung in (i) Seed Wörter 1 - 12 und (ii) Seed Wörter 13 - 24

Wallet-Aufstellung: 3 of 3
■ Naive Aufteilungssystematik
   ● Passwort: ABC
   ● Zettel 1: Axx
   ● Zettel 2: xBx
   ● Zettel 3: xxC
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 33%
   ● 2 Zettel: 67%
   ● 3 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 35 Zeichen
   ● 2 Zettel: 69 Zeichen
   ● 3 Zettel: unmöglich
▶ z.B. eine Aufteilung in (i) Seed Wörter 1 - 12, (ii) Seed Wörter 13 - 24 und (iii) Passphrase mit 23 Buchstaben

Wallet-Aufstellung: 2 of 3
■ Naive Aufteilungssystematik
   ● Passwort: ABC
   ● Zettel 1: ABx
   ● Zettel 2: AxC
   ● Zettel 3: xBC
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 67%
   ● 2 Zettel: 100%
   ● 3 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 69 Zeichen
   ● 2 Zettel: unmöglich
   ● 3 Zettel: unmöglich
▶ z.B. eine Aufteilung in (A) Seed Wörter 1 - 12, (B) Seed Wörter 13 - 24 und (C) Passphrase mit 23 Buchstaben. Ort 1: AB, Ort 2: AC, Ort 3: BC

Wallet-Aufstellung: 2 of 4
■ Naive Aufteilungssystematik
   ● Passwort: ABCD
   ● Zettel 1: ABCx
   ● Zettel 2: ABxD
   ● Zettel 3: AxCD
   ● Zettel 4: xBCD
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 75%
   ● 2 Zettel: 100%
   ● 3 Zettel: 100%
   ● 4 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 91 Zeichen
   ● 2 Zettel: unmöglich
   ● 3 Zettel: unmöglich
   ● 4 Zettel: unmöglich

Wallet-Aufstellung: 3 of 4
■ Naive Aufteilungssystematik
   ● Passwort: ABCDEF
   ● Zettel 1: ABxDxx
   ● Zettel 2: AxCxEx
   ● Zettel 3: xBCxxF
   ● Zettel 4: xxxDEF
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 50%
   ● 2 Zettel: 83%
   ● 3 Zettel: 100%
   ● 4 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 46 Zeichen
   ● 2 Zettel: 137 Zeichen
   ● 3 Zettel: unmöglich
   ● 4 Zettel: unmöglich

Wallet-Aufstellung: 3 of 5
■ Naive Aufteilungssystematik
   ● Passwort: ABCDEFGHIJ
   ● Zettel 1: ABCxEFxHxx
   ● Zettel 2: ABxDExGxIx
   ● Zettel 3: AxCDxFGxxJ
   ● Zettel 4: xBCDxxxHIJ
   ● Zettel 5: xxxxEFGHIJ
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 60%
   ● 2 Zettel: 90%
   ● 3 Zettel: 100%
   ● 4 Zettel: 100%
   ● 5 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 57 Zeichen
   ● 2 Zettel: 227 Zeichen
   ● 3 Zettel: unmöglich
   ● 4 Zettel: unmöglich
   ● 5 Zettel: unmöglich
 
Wallet-Aufstellung: 4 of 7
■ Naive Aufteilungssystematik
   ● Passwort: ABCDEFGHIJKLMNOPQRSTUVWYZabcdefghij
   ● Zettel 1: ABCDxFGHxJKxMxxPQRxTUxWxxabxdxxgxxx
   ● Zettel 2: ABCxEFGxIJxLxNxPQxSTxVxYxaxcxexxhxx
   ● Zettel 3: ABxDEFxHIxKLxxOPxRSxUVxxZxbcxxfxxix
   ● Zettel 4: AxCDExGHIxxxMNOxQRSxxxWYZxxxdefxxxj
   ● Zettel 5: xBCDExxxxJKLMNOxxxxTUVWYZxxxxxxghij
   ● Zettel 6: xxxxxFGHIJKLMNOxxxxxxxxxxabcdefghij
   ● Zettel 7: xxxxxxxxxxxxxxxPQRSTUVWYZabcdefghij
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 57%
   ● 2 Zettel: 86%
   ● 3 Zettel: 97%
   ● 4 Zettel: 100%
   ● 5 Zettel: 100%
   ● 6 Zettel: 100%
   ● 7 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 53 Zeichen
   ● 2 Zettel: 159 Zeichen
   ● 3 Zettel: 794 Zeichen
   ● 4 Zettel: unmöglich
   ● 5 Zettel: unmöglich
   ● 6 Zettel: unmöglich
   ● 7 Zettel: unmöglich
▶ Eine naive Aufteilung ist hier so nicht geeignet. Bei einem Diebstahl von 2 Zetteln hat der Dieb 86% unseres privaten Schlüssels.
   Damit in den restlicen 14% noch genügend Entropie verbleibt, muss unser privater Schlüssel die Obergrenze von 86 Zeichen überschreiten.

Wallet-Aufstellung: 3 of 7
■ Naive Aufteilungssystematik
   ● Passwort: ABCDEFGHIJKLMNOPQRSTU
   ● Zettel 1: ABCDExGHIJxLMNxPQxSxx
   ● Zettel 2: ABCDxFGHIxKLMxOPxRxTx
   ● Zettel 3: ABCxEFGHxJKLxNOxQRxxU
   ● Zettel 4: ABxDEFGxIJKxMNOxxxSTU
   ● Zettel 5: AxCDEFxHIJKxxxxPQRSTU
   ● Zettel 6: xBCDEFxxxxxLMNOPQRSTU
   ● Zettel 7: xxxxxxGHIJKLMNOPQRSTU
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 71%
   ● 2 Zettel: 95%
   ● 3 Zettel: 100%
   ● 4 Zettel: 100%
   ● 5 Zettel: 100%
   ● 6 Zettel: 100%
   ● 7 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 80 Zeichen
   ● 2 Zettel: 477 Zeichen
   ● 3 Zettel: unmöglich
   ● 4 Zettel: unmöglich
   ● 5 Zettel: unmöglich
   ● 6 Zettel: unmöglich
   ● 7 Zettel: unmöglich

Wallet-Aufstellung: 6 of 7
■ Naive Aufteilungssystematik
   ● Passwort: ABCDEFGHIJKLMNOPQRSTU
   ● Zettel 1: ABxDxxGxxxKxxxxPxxxxx
   ● Zettel 2: AxCxExxHxxxLxxxxQxxxx
   ● Zettel 3: xBCxxFxxIxxxMxxxxRxxx
   ● Zettel 4: xxxDEFxxxJxxxNxxxxSxx
   ● Zettel 5: xxxxxxGHIJxxxxOxxxxTx
   ● Zettel 6: xxxxxxxxxxKLMNOxxxxxU
   ● Zettel 7: xxxxxxxxxxxxxxxPQRSTU
■ Wenn der Bösewicht X Zettel findet, welchen Anteil vom Passwort kennt er dann?
   ● 0 Zettel: 0%
   ● 1 Zettel: 29%
   ● 2 Zettel: 52%
   ● 3 Zettel: 71%
   ● 4 Zettel: 86%
   ● 5 Zettel: 95%
   ● 6 Zettel: 100%
   ● 7 Zettel: 100%
■ Wenn der Bösewicht X Zettel hat, wie lang muss unser Passwort sein, damit dem Bösewicht immer noch 128 Bit Entropie fehlen?
   ● 0 Zettel: 23 Zeichen
   ● 1 Zettel: 32 Zeichen
   ● 2 Zettel: 48 Zeichen
   ● 3 Zettel: 80 Zeichen
   ● 4 Zettel: 159 Zeichen
   ● 5 Zettel: 477 Zeichen
   ● 6 Zettel: unmöglich
   ● 7 Zettel: unmöglich


Was haben wir jetzt gelernt?

Multisig bzw. SSS lohnen sich, ...:
❶ ... wenn wir unser Geheimnis auf sehr viele unterschiedliche Teile aufteilen müssen oder
❷ ... wenn wir uns davor absichern möchten, dass ein Dieb fast alle Teile unseres Geheimnisses einsammelt (z.B. 3 Teile bei einer 4 of 7 Wallet) und wir dann ...
❸ ... trotzdem noch genügend Entropie übrig haben möchten.

Zu ❶:
 ■ Brauchen wir wirklich so viele Geheimnisteile?
   ● Statt an wichtigen Orten mehrere Teiles unseres Geheimnisses zu lagern und an unwichtigen Orten nur ein Geheimnisteil, könnten wir auch längere Stücke vom Geheimnis an wichtigen Ort lagern und kürzere Stücke an einem unwichtigen Ort.


Zu ❷:
 ■ Wir können es dem Dieb durch die Wahl der Orte erschweren ...
   ● ... indem wir ähnlichen Menschen die gleichen Teile geben und unterschiedlichen Menschen unterschiedliche Teile.
   ● z.B. Freund 1 und Freund 2 bekommen Zettel 1. Verwandter 1 und Verwandter 2 bekommen Zettel 2. Arbeit und Sportverein bekommen Zettel 3. Haus Erdgeschoss und Haus Dachboden bekommen Zettel 4. So haben wir 8 Backups mit nur 4 Teilen und sollte sich eine Gruppe z.B. deine beiden Freunde dann gegen dich verbünden, haben sie gemeinsam keinen Informationsvorteil.
 
Zu ❸:
 ■ Leichte Aufweichung der Wünsche zur Entropie (etwas unter 128 Bit) oder zu der Zeichenanzahl (über 86 Zeichen).
   ● Das ein Dieb mehrere Geheimnisteile findet, ist schon unwahrscheinlich. Brauchen wir dann wirklich noch 128 Bit Entropie?
   ● Ein Hecker wird eher zu Brute-Force greifen, ein Dieb eher zur 5$-Wrench-Atack. Ein Dieb, der gleichzeitig gut in Brute-Force Attack ist, ist unwascheinlich.
   ●  Der Schutz ggü. Hackern sollte eher 128 bis 256 Bit Entropie sein
   ●  Der Schutz ggü. Einbrechern kann auch etwas unter 128 Bit sein. Wie viel darunter kommt darauf an wie viel Expertise und Zeit der Angreifer hat.


Eine 2 of 3 naive Seed Aufteilung, eine 2 of 3 Multisig Aufteilung und eine 2 of 3 SSS-Aufteilung erstellen gleichwertige Zettel.
Damit machen wir uns das Leben aber unnötig schwierig:
 ●  In den Beispielen oben war jeder Zettel gleich wichtig. In Wirklichkeit sind unsere Orte nicht gleichwertig.
 ●  In den Beispielen geben zwei Zettel zusammen dem Dieb immer den gleichen Informationsgewinn. In Wirklichkeit wird der Dieb Zettel 1 und 2 häufig zusammen finden aber z.B. Zettel 1 und 6 faktisch nie zusammen finden.

Ich würde deswegen Personen und Orte in Gruppen Teilen:
 ■ Gruppe 0: Gehirn
   ⚠ Amnesie, Tod
 ■ Gruppe 1: Bank Schließfach 1, Bank Schließfach 2 und dein Arbeitsplatz als Kundenberater in Bank 2
   ⚠ Finanzkrise, Bank-holiday, staatliche Enteignung
 ■ Gruppe 2a: Haus Dachboden, Haus Garage
   ⚠ Höhere Gewalt zerstört alles zusammen
   ⚠ Scheidung
 ■ Gruppe 2b: Ehefrau, Eltern der Ehefrau, Freunde der Ehefrau
   ⚠ Scheidung
 ■ Gruppe 3: Freund 1 aus dem Schützenverein, Freund 2 aus dem Schützenverein
   ⚠ Streit
 ■ Gruppe 4: Haus deiner Eltern, Wohnung von deinem Bruder
   ⚠ Familie verstößt dich

▶ Menschen / Orte aus der gleichen Gruppe bekommen das gleiche Geheimnis.
▶ Menschen / Orte aus einer unterschiedlichen Gruppe bekommen unterschiedliche Geheimnisse.
▶ Wie sparen uns so Mühe bei der Aufteilung unseres Geheimnisses und verbessern trotzdem die Sicherheit.


Durch eine einfache Aufteilung in
  (i) Seed Wörter 1 - 12,
  (ii) Seed Wörter 13 - 24 und
  (iii) Passphrase mit 23 Buchstaben
  an jeweils 2 Orten
ersparen wir uns die Abhängigkeit von einer SSS Software bzw. dem Backup des Wallet files und sind dennoch nicht anfällig, dass ein Dieb den dritten Teil des privaten Schlüssels per brute force errät.