Схема Шамира: что это такое и зачем она нужна в менеджере паролей

В большинстве компаний мастер-ключ от хранилища паролей держит один человек. Уволился в конфликте, ушел на больничный, потерял устройство — и начинается экстренный разбор. Это случается чаще, чем кажется. Схема Шамира убирает эту зависимость, поэтому мы реализовали ее в ОдинКлюч.

Схема Шамира (Shamir's Secret Sharing) — метод разделения секрета, предложенный математиком Ади Шамиром в 1979 году. Секрет делится на несколько частей, каждую из которых получает отдельный участник. Собрать его обратно можно только при наличии достаточного числа фрагментов. Если фрагментов меньше порога — секрет недоступен полностью, даже частично.

Классическая проблема корпоративных систем — это зависимость от так называемого суперадминистратора. Один человек знает мастер-ключ хранилища, один человек может изменить любые настройки, один человек уходит и начинается экстренная смена учетных данных по всему периметру.

Схема Шамира позволяет убрать такой подход. Мастер-ключ не лежит целиком нигде и ни у кого, он существует только в момент сборки из всех частей.

В ОдинКлюч от АБП2Б схема Шамира используется для защиты мастер-ключа. При инициализации ключ делится на несколько частей по числу ответственных лиц. Каждый получает свой фрагмент, и для получения доступа к системе или восстановления параметров после кадровых изменений нужно собрать установленное минимальное число фрагментов.

Рассмотрим типичный сценарий. В компании пять человек, которые реально несут ответственность за информационную безопасность:

• директор по ИБ — отвечает за политику безопасности;
• системный администратор — управляет инфраструктурой;
• технический директор — принимает архитектурные решения;
• генеральный директор — контролирует соответствие требованиям
• собственник — несет конечную ответственность за бизнес;

Каждый получает свой фрагмент мастер-ключа и хранит его независимо. Порог в этом примере четыре. Для доступа к системе или восстановления параметров нужно, чтобы собрались любые четыре из пяти. Собственник не может войти в одиночку. Администратор тоже, директортоже нет, это принципиально.

Роли суперадмина здесь нет в принципе, полный ключ буквально не существует ни у кого. Если кто-то из пяти уволился, оставшиеся четверо собираются, восстанавливают ключ и перевыпускают фрагменты уже без ушедшего участника. Система не блокируется, доступ не теряется.

Применение схемы Шамира в корпоративном менеджере паролей закрывает несколько практических задач.

Нет единой точки отказа.
Компрометация одного сотрудника или потеря одного устройства не раскрывает мастер-ключ.

Устойчивость к кадровым изменениям.
При уходе сотрудника система не блокируется, а оставшихся участников достаточно для штатной работы.

Распределение ответственности.
Доступ к критичным операциям требует коллективного решения, что снижает риск инсайдерских инцидентов.

Математическая стойкость.
Фрагмент ключа не несет никакой информации о самом секрете, перехват одного или нескольких фрагментов не приближает злоумышленника к цели.

Разделение главного пароля закрывает конкретные векторы атак, с которыми сталкиваются реальные компании.

Фишинг, утечка пароля, взлом рабочей станции, если мастер-ключ хранится у одного администратора, атакующий получает все хранилище целиком. При схеме Шамира компрометация одного участника дает злоумышленнику только фрагмент — бесполезный без остальных.

Сотрудник с единоличным доступом к мастер-ключу технически может скопировать хранилище и унести его при увольнении. При пороговой схеме у него есть только фрагмент, но сам по себе он бесполезен. Чтобы собрать ключ, нужно договориться сразу с несколькими людьми — это уже совсем другой уровень сложности и риска для злоумышленника.

Если злоумышленник знает, что конкретный человек владеет мастер-ключом, он может попытаться получить его под давлением. При схеме Шамира ни один участник физически не может выдать полный ключ, его просто нет у кого-то одного.

Администратор ушел и не передал никому пароли — распространенная ситуация, особенно в конфликтных расставаниях. Оставшихся фрагментов достаточно для восстановления ключа и перевыпуска долей. Система продолжает работать без экстренных мер.

Сломался ноутбук, потеряли токен, залили телефон — если мастер-ключ хранится в единственном экземпляре, последствия катастрофические. В ОдинКлюч система изначально рассчитана на то, что кто-то из участников будет недоступен. Четверо из пяти собрались — доступ есть, пятый может догнать позже.

Схема Шамира решает проблему единой точки отказа, но создает новые требования, о которых стоит знать заранее:

Организационная дисциплина.
Потерял токен, забыл пин, нет доступа к устройству — и нужное число людей уже не собрать. Требует дисциплины от каждого участника.

Нет быстрого единоличного доступа.
Если нужно срочно что-то починить ночью, одному не зайти. Придётся будить коллег. Для одних компаний это приемлемо, для других требует отдельного регламента для экстренных ситуаций.

Схема Шамира — рабочий инструмент с сорокалетней историей применения. Решает конкретную проблему — как хранить критичные секреты так, чтобы ни один человек не имел над ними единоличной власти, и система при этом оставалась управляемой.

В ОдинКлюч мы реализовали ее именно с этой целью — убрать роль суперадминистратора и перераспределить ответственность между теми, кому она принадлежит по должности. Доступ к системе становится коллективным решением, а не привилегией одного человека. Безопасность, завязанная на одного человека, держится ровно до первого инцидента.

Подробнее о системе управления паролями от компании АБП2Б и о наших продуктах в сфере кибербезопасности и управления ИТ-инфраструктурой на наших сайтах.

Система управления паролями для бизнеса:
Менеджер паролей ОдинКлюч
Платформа для инвентаризации ИТ-активов ОдинХаб