シードフレーズは自己管理型ウォレットのマスターキーです。しかし、ほとんどのシードフレーズの基盤となる標準である BIP-39 は、任意の追加要素を静かに定義しています。それがパスフレーズで、ときに「25 番目の単語」と呼ばれます。これを加えると、シードの上に乗る二つ目の秘密が手に入ります。本当に便利な道具であると同時に、自分の資産から自分を締め出してしまう最も簡単な方法の一つでもあります。本ガイドでは、BIP-39 パスフレーズとは何か、実際に何が得られ、何を失うのか、資金を失う失敗、そして SSP が署名を二つの鍵に分割するやり方との比較を説明します。
BIP-39 パスフレーズとは実際に何か
標準的なウォレットは、すべてのアドレスをシードフレーズ——設定時に書き留めた 12 または 24 の単語——から導出します。BIP-39 パスフレーズは、それらの単語と一緒に入力する任意の秘密です。ウォレットはシードとパスフレーズを組み合わせて、まったく別のウォレットを導出します。別のアドレス、別の秘密鍵、別の残高です。パスフレーズの文字を一つ変えるだけで、エラーも警告もなく、さらに別のウォレットが得られます。
公式の BIP-39 仕様は、パスフレーズを単一のシードから多数のウォレットを導出する手段として記述しており、そこでパスフレーズは鍵導出関数におけるソルトとして働きます。この設計から直接、決定的な性質が導かれます。パスフレーズはどこにも保存されません——デバイスにも、シードの単語にも、いかなるウォレット提供者のもとにも。復元すべき記録は存在しません。忘れれば、それが解錠するウォレットは失われ、シードの単語をいくら持っていても取り戻せません。
だからこそハードウェアウォレットのベンダーは、これを上級者向けの機能として扱います。Trezor の パスフレーズと隠しウォレットに関する文書は、各パスフレーズを別個の隠しウォレットを開くものとして位置づけ、空のパスフレーズもその中の一つのウォレットにすぎないとしています。
何が得られるか
二つの実際の利点が、この機能を正当化します。
発見または盗難されたシードカードを守ります。 単語を保管した紙や金属プレートを誰かが見つけても、パスフレーズで保護されたウォレットは依然として安全です。シードだけでは空パスフレーズのウォレットが導出されます——それを意図的に空に保つのです。資金は、シードがあなたの頭の中にしか存在しないパスフレーズと組み合わさったときにだけ現れるウォレットに置かれます。泥棒は二部構成の秘密の半分を握るだけで、何も動かせません。
隠しウォレットと「もっともらしい否認」を可能にします。 各パスフレーズが別個のウォレットを導出するため、パスフレーズなしのウォレットには少額の実残高を、実際の保有はパスフレーズの背後に置けます。強要のもとで——いわゆる「5 ドルのレンチ攻撃」——シードとおとりのパスフレーズを差し出して控えめな残高を見せ、大半は不可視のままにできます。隠しウォレットの存在を証明する方法はなく、それこそが「もっともらしい否認」の核心です。
バックアップが物理的に見つかることを本気で心配している単一シードのユーザーにとって、これらは理論上の勝利ではありません。機能を有効にする最も強力な論拠です。
何を失うか
あなたを守るのと同じ仕組みが、賭け金も引き上げます。
単一障害点を二倍にします。 パスフレーズがなければ、守り——そして喪失に耐え——なければならない秘密は一つ、シードだけです。パスフレーズがあると、二つの独立した秘密をバックアップしかつ再現できなければならず、どちらか一方を失えば資金を失います。耐火のシードバックアップも、パスフレーズが記憶の中だけにあり、その記憶が失われれば何の役にも立ちません。
弱いパスフレーズは総当たりで破られます。 攻撃者が実際にシードを見つけた場合、彼と資産の間に立つ唯一のものはパスフレーズです。短い、または推測しやすいパスフレーズ——ペットの名前、誕生日、ありふれた言い回し——は、攻撃者がすでにシードを握っていてネットワークに触れずに候補を試せるため、オフラインで猛烈な速さで総当たりできます。価値を持つには、パスフレーズは本物のエントロピーを備えていなければなりません。
運用上の摩擦が増えます。 復元のたびに、大文字・小文字、空白、句読点まで含めてパスフレーズを正確に入力する必要があります。見えない末尾の空白、異なるキーボード配列、自動修正された文字は、エラーではなく、静かに空のウォレットを生み出します。
資金を失う失敗
パスフレーズによる損失の大半は、避けられる数少ないパターンから生じます。
- パスフレーズをシードの隣に保管する。 両方の半分が同じ引き出し、金庫、メモにあれば、泥棒に一手間を加えただけです。パスフレーズは、別々に保管——または記憶——されているときにのみあなたを守ります。
- 記憶だけに頼る。 人は忘れます。どこにも記録していないパスフレーズは、回復不能になるまで悪い一週間の距離です。安全な型は、シードとは別の場所に保管する、独立した耐久性のあるバックアップです。
- 見えない文字。 末尾の空白、スマホのキーボードが置き換えるスマートクォート、端末ごとに異なって表示される絵文字は、導出されるウォレットを変えてしまいます。パスフレーズは確実に再現できる文字に限ってください。
- 空のウォレットを「壊れている」と思い込む。 復元後に空パスフレーズのウォレットを見て慌てるのはよくあることです。資金は失われていません。まだパスフレーズを入力していないだけです。
シードフレーズを使うのであれば、シードフレーズのベストプラクティスのガイドが、パスフレーズが依存するバックアップの衛生を扱い、鍵の一つが侵害されたら何が起きるかが、パスフレーズが鈍らせようとする脅威を順に解説します。
パスフレーズ対 SSP の二鍵モデル
パスフレーズは、ある特定の問いへの一つの答えです。単一のシードが見つかったり盗まれたりしたらどうするか? それは、シードだけでは明かせない二つ目の秘密を加えることで答えます。
SSP は同じ問いに別の答えを出します。一つのシードの上に二つ目の秘密を重ねるのではなく、SSP の 2-of-2 マルチシグは署名を二つの独立した鍵に分割します——一つは SSP ブラウザ拡張に、もう一つは SSP Key モバイルアプリに——その結果、いかなる単一の秘密も資金を動かすのに決して十分ではありません。一台のデバイスを侵害した、あるいは一つのバックアップを見つけた攻撃者でも、トランザクションに署名できません。二つ目の鍵は、最初の鍵に付け足された単語ではなく、独立した承認の場です。
この区別は重要です。パスフレーズは単一シードのモデルを保ち、同じ根から導かれる二つの秘密を守るよう求めます。SSP は単一シードという前提そのものを取り除きます。発見すればウォレットを空にできる、たった一つのフレーズなど存在しません。この設計の背後にある理由については、いまなぜ自己管理が重要かが文脈を示し、マルチシグの障害モードと SSP による緩和が、二鍵構成が何を守れて何を守れないかについて正直に述べています。
SSP が何であり、何でないかを明確にしておきます。SSP は BIP-39 のパスフレーズ切り替えを提供しておらず、本記事をアプリ内の設定として読むべきではありません。この比較は機能ではなく脅威モデルに関するもの——発見されたバックアップを攻撃者にとって無用にする、二つの異なる方法です。
どう決めるか
パスフレーズは一部のユーザーによく合います。単一シードのウォレットを持ち、バックアップが物理的に見つかることを特に心配しており、高エントロピーの二つ目の秘密を何年も耐久的かつ別々に保管できる自信があるなら、有効化を検討してください。隠しウォレットと「もっともらしい否認」の特性は本物であり、ある種の脅威モデルにはまさにうってつけです。
決断する前に、障害モードについて正直になってください。あなたのより大きなリスクが、秘密を忘れること、バックアップを失うこと、あるいはプレッシャーの中で復元を打ち間違えることなら、パスフレーズは、まさに逃れようとしている脆さを加えてしまいます。生き残らなければならないものの数を二倍にするのは、ただではありません。
あなたを悩ませているのが単一シードという前提そのものなら、署名を二つの鍵に分割することは、二つ目の秘密を完璧に覚えることを求めずに同じ脅威に対処します。ブラウザを失ったときのウォレットの復元は、いかなる単一の秘密も物語のすべてではないとき、復元がどのように機能するかを示します。
さらに学ぶ
パスフレーズと二鍵ウォレットは、同じ問いへの二つの答え——盗まれたバックアップを攻撃者にとって無価値にすることです。利点が良さそうに聞こえるほうではなく、障害モードに付き合えるほうを選んでください。
