秘密を分散させて漏えいを防ぐ「シャミアの秘密共有」の仕組みとは？

シャミアの秘密共有(SSS)は暗号研究者のアディ・シャミア氏が1979年に開発したアルゴリズムで、グループのメンバーが秘密情報を分割して所持し、複数人が情報を持ち寄らないと必要な情報が完成しないため、一部の秘密情報だけ盗まれても情報が漏えいしないという暗号方式です。暗号鍵の保護に用いられるシャミアの秘密共有の仕組みについて、エンドツーエンド暗号化のクラウドストレージサービスを提供する「Ente」が解説しています。

How Shamir's Secret Sharing Works
https://ente.com/blog/how-shamirs-secret-sharing-works/

Enteはまず、「1点を通る直線は無数に引けるが、2点あれば直線は1本に決まる」という基本的な数学理論を例に挙げています。座標を1点知っていたところで直線を特定することはできませんが、座標を2点知っていれば1つの直線が確定します。

例えば、秘密の数字を「7」だとします。グラフにおける座標は(0,7)のため、これを通るような適当な線として「y=2x＋7」を引きます。この際に傾きは重要ではありません。

「y=2x＋7」の式を通る(1,9)という座標と(2,11)という座標を2人にそれぞれ与えます。(2,11)の座標をもらった人は、単独の座標を見ても元の直線を特定することは不可能で、「7」という秘密の数字にもたどり着きません。しかし、(1,9)の座標も合わせて取得することで、秘密の値を復元できます。これを「2-of-n秘密分散方式」と言います。

直線(一次関数)ならば2つの座標から復元できますが、曲線(二次関数)の場合は3つの座標が必要です。三次関数なら4つ、四次関数なら5つというように、式を変えることで秘密を復元するための必要な人数を増やすことができます。実際のシステムでは単純な方眼紙ではなく、「有限体」と呼ばれる特殊な数値計算が用いられますが、シャミアの秘密共有の基本的な考え方はグラフの式と座標の理論から理解できます。

Enteは2026年5月に「Legacy Kit」というアカウント復旧システムをリリースしました。アカウントにアクセスできなくなった場合などに、あらかじめ保存しておいた「3つのQRコード」のうち2つを用いることでアカウントを復旧できます。ここにシャミアの秘密共有のアイデアが採用されており、仮に1枚のQRコードを流出してしまった場合でも、アカウントに不正アクセスされるリスクを大幅に下げることができます。

Legacy KitはEnteが提供するエンドツーエンド暗号化された保管庫の「Ente Locker」に実装されています。AndroidとiOSの両方で利用可能です。