EN
25-те слово (Passphrase)

[ GUIDE / PASSPHRASE ]

25-те слово (Passphrase)

11 хв читання · Гайд 6 з 7

Як додаткова пасфраза BIP39 створює ще один рівень захисту поверх вашої сід-фрази — забезпечуючи приховані гаманці, правдоподібне заперечення та захист від фізичної компрометації сіда.

Що таке 25-те слово (пасфраза BIP39) і як воно працює?

Що таке 25-те слово?

«25-те слово» — це додаткова пасфраза, яку ви можете додати до вашої стандартної сід-фрази з 12 або 24 слів. Вона визначена в специфікації BIP39 і підтримується більшістю сучасних гаманців.

На відміну від самих сід-слів (які беруться з фіксованого списку з 2048 слів), пасфраза є повністю довільною — це може бути будь-який рядок символів: літери, цифри, спеціальні символи, пробіли, навіть символи Unicode. Обмежень на довжину чи вміст немає.

Уявіть це так: сід-фраза — це ключ від вашого сховища, а пасфраза — це комбінація на додатковому замку сховища. Навіть якщо хтось знайде ключ, без комбінації він не зможе відкрити сховище.

Ключова властивість пасфрази полягає в тому, що кожна інша пасфраза генерує абсолютно інший гаманець. Ваші 24 слова без пасфрази ведуть до гаманця A. Ті самі 24 слова з пасфразою «apple» ведуть до зовсім іншого гаманця B. Пасфраза «Apple» (з великої літери) веде до ще одного гаманця C. Кожен з них незалежний, зі своїми власними ключами та адресами.

Як пасфраза BIP39 змінює ваш гаманець?

Як це працює?

Коли ваш гаманець перетворює сід-слова на криптографічні ключі, він використовує процес під назвою розтягування ключа PBKDF2. Пасфраза безпосередньо інтегрується в цей процес як частина солі:

  1. Ви вводите свої 12 або 24 сід-слова
  2. Ви вводите пасфразу (або залишаєте порожньою, якщо не використовуєте її)
  3. Гаманець комбінує їх: сід-слова як пароль, а "mnemonic" + пасфраза як сіль
  4. Ця комбінація проходить через 2048 раундів PBKDF2-HMAC-SHA512
  5. Результат — унікальний 512-бітний майстер-сід, з якого виводяться всі ключі

Оскільки пасфраза змінює сіль, навіть різниця в одному символі створює абсолютно інший майстер-сід і, відповідно, абсолютно інший набір ключів та адрес.

1
Сід-фраза
12–24 слова
+
2
Пасфраза
Ваш секретний текст
3
PBKDF2
2048 ітерацій
4
Унікальний сід
512-біт майстер-ключ
Ключовий момент Пасфраза чутлива до регістру та пробілів. «MyPassphrase», «mypassphrase» та «MyPassphrase » (з пробілом у кінці) створюють різні гаманці. Будьте максимально точними при встановленні та введенні пасфрази.

Як працюють приховані гаманці та правдоподібне заперечення?

Приховані гаманці та правдоподібне заперечення

Одна з найпотужніших можливостей пасфрази — створення прихованих гаманців, що забезпечують правдоподібне заперечення під примусом.

Як це працює на практиці

Ви налаштовуєте гаманець із сід-фразою та двома різними пасфразами:

  • Без пасфрази (або з простою пасфразою) — веде до «гаманця-приманки» з невеликим, правдоподібним балансом
  • Ваша справжня пасфраза — веде до вашого основного гаманця з більшістю ваших коштів

Якщо хтось примушує вас розкрити сід-фразу (фізичний примус, юридичний тиск тощо), ви віддаєте сід-слова. Це ключова частина вашої моделі загроз. Вони отримують доступ до гаманця-приманки і бачать баланс, який виглядає правдоподібно. Немає способу довести, що існують додаткові гаманці, захищені пасфразою — зловмисник навіть не може визначити, чи використовувалась пасфраза взагалі.

Оскільки кожна пасфраза (включно з порожньою) створює дійсний гаманець, немає жодного технічного індикатора, який би розкрив, чи використовуєте ви пасфразу або скільки гаманців із пасфразами ви маєте. Це криптографічне правдоподібне заперечення.

Важливо Щоб гаманець-приманка виглядав переконливо, він повинен містити розумний баланс і показувати нормальну історію транзакцій. Порожній гаманець-приманка не є правдоподібним і може загострити загрозу.

Які ризики використання пасфрази з вашою сід-фразою?

Ризики та відповідальність

Пасфраза — потужний інструмент, але вона додає складність і ризик, якими потрібно ретельно керувати.

Якщо ви втратите пасфразу

На відміну від пароля на вебсайті, механізму відновлення забутої пасфрази не існує. Якщо ви її забудете, ви назавжди втратите доступ до всіх активів, що зберігаються в гаманці, похідному від цієї пасфрази. Сама по собі сід-фраза відновить лише базовий гаманець (без пасфрази).

Рекомендації зі зберігання

  • Зберігайте пасфразу окремо від сід-фрази — якщо вони зберігаються разом, пасфраза не забезпечує додаткового захисту
  • Використовуйте довговічний носій для пасфрази — так само як і сід, вона повинна витримати вогонь, воду та час
  • Розгляньте можливість зберігання в іншому географічному місці, ніж резервна копія сіда
  • Не робіть пасфразу надто складною для запам'ятовування — ризик втрати доступу через забуту пасфразу є реальним і трапляється частіше, ніж крадіжка
Критичний баланс Пасфраза захищає від крадіжки, але наражає на ризик втрати через забудькуватість. Ви повинні збалансувати ці ризики: проста, запам'ятовувана пасфраза, яку ви також записуєте на фізичному носії, що зберігається окремо від сіда. Надто складні пасфрази збільшують ризик постійного самоблокування.

Кому варто використовувати пасфразу?

  • Так — користувачам зі значними активами, які мають зрілу практику резервного копіювання та відновлення
  • Так — користувачам, які стикаються з загрозами фізичної безпеки та потребують правдоподібного заперечення
  • Можливо, ні — початківцям, які ще вивчають основи керування сід-фразою
  • Можливо, ні — користувачам, які не мають надійної системи для окремого зберігання додаткового секрету

Як працює криптографічний механізм пасфрази?

Криптографічний механізм

Пасфраза BIP39 інтегрується в процес виведення ключів на рівні PBKDF2. Розуміння точного механізму пояснює, чому він такий ефективний:

Деривація сіда PBKDF2
seed = PBKDF2( PRF: HMAC-SHA512, Password: mnemonic_sentence, // слова через пробіл, NFKD-нормалізовані Salt: "mnemonic" + passphrase, // літеральний "mnemonic" + пасфраза Iterations: 2048, dkLen: 64 bytes // 512-бітний вихід )

Ключові властивості

  • Без валідації — будь-яка пасфраза створює дійсний сід. Контрольної суми чи виявлення помилок для самої пасфрази не існує. Помилка при введенні не створює повідомлення про помилку — вона створює інший (порожній) гаманець.
  • Детерміністичність — та сама мнемоніка + пасфраза завжди створює той самий сід, на будь-якому пристрої, з будь-яким сумісним програмним забезпеченням.
  • На основі солі — пасфраза модифікує сіль, а не пароль. Це означає, що попередньо обчислені райдужні таблиці для поширених мнемонік непридатні, оскільки простір солі фактично нескінченний.
  • NFKD-нормалізація — згідно з BIP39, і мнемоніка, і пасфраза проходять Unicode NFKD-нормалізацію перед обробкою. Це забезпечує однакову поведінку на різних платформах для символів, відмінних від ASCII.
Без захисту від помилок На відміну від мнемонічних слів (які мають контрольну суму), пасфраза не має жодного виявлення помилок. Якщо ви введете «MyPassphras» замість «MyPassphrase», ви отримаєте дійсний, але абсолютно інший (і порожній) гаманець без жодного попередження. Це зроблено навмисно — це забезпечує правдоподібне заперечення — але це означає, що ви повинні бути абсолютно точними.

Скільки ентропії додає пасфраза до безпеки сід-фрази?

Аналіз ентропії пасфрази

Рівень безпеки, який забезпечує пасфраза, залежить від її ентропії. Слабку пасфразу може підібрати зловмисник, який вже має сід-фразу.

Сценарій атаки

Якщо зловмисник отримає ваші 24 сід-слова, але не пасфразу, йому потрібно підібрати пасфразу для доступу до ваших коштів. Вартість цієї атаки залежить від:

  1. Ентропії пасфрази (простір пошуку)
  2. Вартості кожної спроби (PBKDF2 з 2048 ітераціями HMAC-SHA512, потім виведення BIP32 та перевірка адрес)

Рекомендації щодо ентропії пасфрази

  • 4-символьний PIN — ~13 біт ентропії. Зламується за секунди. Не рекомендується.
  • Звичайне англійське слово — ~11 біт. Атака за словником тривіальна.
  • 3-словна пасфраза Diceware — ~39 біт. Стійка до звичайних зловмисників, але вразлива до рішучих, добре забезпечених ресурсами противників.
  • 5-словна пасфраза Diceware — ~65 біт. Забезпечує надійний захист навіть від зловмисників зі значними ресурсами.
  • 8+ випадкових буквено-цифрових символів — ~48 біт. Достатньо для більшості моделей загроз.

Вартість перебору PBKDF2

2048 ітерацій PBKDF2 забезпечують помірний обчислювальний бар'єр. На сучасному GPU-обладнанні зловмисник може перевірити приблизно 100 000-500 000 пасфраз на секунду на один GPU. З кластером із 10 GPU:

Ентропія пасфразиЧас на вичерпання (10 GPU @ 500k/с)
20 біт~0,2 секунди
30 біт~3,5 хвилини
40 біт~2,5 дні
50 біт~7 років
60 біт~7 300 років
80 біт~7,7 мільярда років
Рекомендація Прагніть до щонайменше 40-50 біт ентропії пасфрази для значущого захисту. 4-5-словна пасфраза Diceware або 10+ символьний випадковий рядок легко досягають цього. Уникайте поширених фраз, словникових слів, текстів пісень або передбачуваних шаблонів.

Як різне програмне забезпечення гаманців реалізує пасфрази BIP39?

Реалізація в різних гаманцях

Хоча пасфраза BIP39 є стандартом, її реалізація відрізняється в різних програмних гаманцях та апаратних пристроях:

Апаратні гаманці

  • Ledger — підтримує введення пасфрази безпосередньо на пристрої (тимчасова або прив'язана до PIN-коду). Тимчасові пасфрази потрібно вводити повторно кожну сесію. Пасфрази, прив'язані до PIN-коду, створюють постійний другий «прихований» обліковий запис.
  • Trezor — пасфраза вводиться на комп'ютері або на сенсорному екрані Trezor (Model T / Safe 3). Введення на комп'ютері менш безпечне (ризик кейлогера); введення на пристрої є переважним.
  • Coldcard — підтримує введення пасфрази на пристрої з можливістю зберігання зашифрованої версії на пристрої. Також підтримує кілька слотів для пасфраз.
  • Keystone — пасфраза вводиться через сенсорний екран пристрою, повністю ізольовано від комп'ютера.

Програмні гаманці

  • Sparrow — підтримує пасфразу під час створення та відновлення гаманця. Відображає відбиток, похідний від пасфрази, щоб ви могли перевірити правильність введення.
  • Electrum — підтримує пасфразу BIP39 під час імпорту сіда (потрібно увімкнути режим BIP39).
  • BlueWallet — підтримує пасфразу для гаманців BIP39 під час створення.
Перевірка відбитка Багато гаманців відображають «майстер-відбиток» (перші 4 байти хешу майстер-публічного ключа BIP32) після введення пасфрази. Запишіть цей відбиток при першому налаштуванні гаманця. При відновленні порівняйте відбиток, щоб переконатися, що ви ввели правильну пасфразу — інший відбиток означає іншу пасфразу (або помилку при введенні).

Які існують просунуті стратегії пасфраз для максимальної безпеки?

Просунуті стратегії пасфраз

Окрім базового сценарію з прихованим гаманцем, пасфраза дає змогу реалізувати кілька просунутих конфігурацій безпеки:

Багаторівнева архітектура гаманців

Використовуйте кілька пасфраз з одним сідом для створення багаторівневої структури:

  • Без пасфрази — гаманець-приманка з мінімальними коштами
  • Пасфраза A — гаманець середнього рівня безпеки для регулярних транзакцій
  • Пасфраза Bхолодне сховище високого рівня безпеки для довгострокових активів

Кожен рівень має свої власні адреси, ключі та баланси. Компрометація однієї пасфрази не впливає на інші.

Пасфраза + Multi-Sig

Для максимальної безпеки поєднайте пасфразу з налаштуванням multisig. Ключ кожного співпідписанта може бути захищений пасфразою незалежно, створюючи багаторівневий захист: зловмисник повинен отримати M сід-фраз та відповідні пасфрази, щоб підписати транзакцію.

Модель географічного розділення

  • Локація A (домашній сейф) — резервна копія сід-фрази на металевій пластині
  • Локація B (банківська комірка) — резервна копія пасфрази на металевій пластині
  • Локація C (довірений член сім'ї) — друга копія сід-фрази (для відновлення після катастрофи)

Зловмисник повинен скомпрометувати дві окремі захищені локації для доступу до коштів. Стихійне лихо, що знищить Локацію A, все одно дозволяє відновлення за допомогою Локацій B + C.

Як пасфраза інтегрується у вашу модель загроз?

Інтеграція в модель загроз

Пасфраза захищає від конкретних сценаріїв загроз і є неефективною проти інших. Розуміння її місця у вашій моделі загроз є важливим:

Ефективна проти

  • Фізичної компрометації сіда — якщо хтось знайде або сфотографує вашу сід-фразу, він все одно не зможе отримати доступ до коштів, захищених пасфразою
  • Примусу (з приманкою) — ви можете передати сід-фразу та продемонструвати правдоподібний гаманець-приманку
  • Внутрішніх загроз — член сім'ї або співмешканець, який виявить вашу резервну копію сіда, не зможе отримати доступ до гаманця з пасфразою
  • Атак на ланцюг постачання — навіть якщо апаратний гаманець поставлений із заздалегідь скомпрометованою прошивкою, пасфраза вводиться окремо, і зловмисник не може її передбачити

Неефективна проти

  • Шкідливого ПЗ на пристрої для введення пасфрази — кейлогер перехоплює пасфразу під час введення
  • Скомпрометованого програмного забезпечення гаманця — шкідливе ПЗ може вивести і сід, і пасфразу під час введення
  • Відеоспостереження — якщо пасфраза зафіксована на відео під час введення
  • Повторного примусу — зловмисник, який підозрює існування прихованого гаманця, може не прийняти приманку та посилити загрози
Глибокий захист Пасфраза — це один рівень у багаторівневому захисті. Вона повинна доповнювати (а не замінювати) належне зберігання сіда, використання апаратного гаманця та практики операційної безпеки. Жоден окремий захід не є достатнім сам по собі.

[ ЧАСТІ ЗАПИТАННЯ ]

FAQ

[ ІНТЕРАКТИВНИЙ СИМУЛЯТОР ]

Симулятор ефекту пасфрази

Введіть будь-яку пасфразу та спостерігайте, як BIP39-сід і Bitcoin-адреси змінюються в реальному часі — символ за символом. Сід-фраза нижче — це відомий тестовий вектор BIP39, безпечний лише для демонстрації. Ніколи не вводьте свою справжню сід-фразу на жодному вебсайті.

Сід-фраза  —  фіксований 12-словний тестовий вектор BIP39
Пасфраза BIP39  —  “25-те слово”
Порожня пасфраза → стандартний гаманець  ·  Кожен символ створює повністю інший сід та адреси  ·  Чутлива до регістру
BIP39 Seed  PBKDF2-HMAC-SHA5122048 iterations512 bit
seed = PBKDF2(HMAC-SHA512, password=mnemonic, salt=“mnemonic” + passphrase, iter=2048, dkLen=64)
Похідні адреси  m/44’/0’/0’/0/xP2PKHBitcoin mainnet

[ ЧИТАТИ ДАЛІ ]

Продовжуйте навчання

Анатомія сід-фрази

З чого складається мнемоніка BIP39, як працюють ентропія та контрольні суми, і чому ваші 12-24 слова такі важливі.

Операційна безпека (OpSec)

Захистіть себе від фішингу, соціальної інженерії та фізичних загроз. Практичні звички безпеки.

Мультипідпис (Multisig)

Усуньте єдині точки відмови за допомогою налаштувань із кількома ключами та моделей розподіленої довіри.

Перевірте свої знання

Пройдіть короткий квіз, щоб перевірити розуміння цього гайду.

Пройти квіз