Simple Secret Sharing Methode um die Seed Phrase zu backupen

Vorwort:

Ich möchte hier ein System vorstellen, welches auf dem Additive Secret Sharing und XOR basiert, aber so abgewandelt wurde, dass es simpler auszuführen ist, ohne dabei die Sicherheit zu beeinträchtigen.
Das Ziel ist, es dem Anwender die Möglichkeit zu geben seine Seed Phrase (oder eine andere geheime Information) auf einem Blatt Papier ohne einen Computer aufzuteilen. Beim Shamir Secret Sharing benötigt man fast zwangsläufig Software um es umzusetzen.

Ich bin es mehrfach durchgegangen, habe es sowohl mit echten Menschen als auch mit KI besprochen und konnte bisher keinen Fehler finden.
Weil es hier aber um den Schutz hoch sensibler Daten geht, möchte ich darauf hinweisen, dass ich nicht für die Sicherheit des Systems garantieren kann, viel mehr möchte ich es hier besprechen und es gemeinsam analysieren, um die Sicherheit davon zu überprüfen.

Wenn ihr irgendeinen Fehler findet, eine Frage oder einen Vorschlag habt, dann schreibt es gerne :)

Das System

Vom Wort zu den Shares

1. Wir starten mit einem Wort, z.B Bitcoin
2. Das Wort Bitcoin wird zur Buchstaben Liste [„b“, „i“, „t“, „c“, „o“, „i“, „n“]
3. Die Basis Werte dieser Buchstaben sind ihre Positionen im Alphabet: [2, 9, 20, 3, 15, 9, 14]
4. Share 1 wird zufällig mit 4 Würfeln (0-9 / 10 seitig) generiert: [824, 9805, 9339, 3161, 2320, 4175, 5373]
5. Share 2 [n] wird als Basis Wert [n] - Share 1 [n] definiert (z.B Basis Wert [1] - Share 1 [1] = Share 2 [1]
   [−822, −9796, −9319, −3158, −2305, −4166, −5359 ]
6. Diese Schritte kann man mit jedem Wort der Seed Phrase wiederholen, bis man die ganze Seed Phrase aufgespaltet hat.

Von den Shares zu dem Ausgangs Wort

1. Share 1 = [824, 9805, 9339, 3161, 2320, 4175, 5373]
2. Share 2 = [−822, −9796, −9319, −3158, −2305, −4166, −5359 ]
3. Share 1 [n] + Share 2 [n] = Basis Wert [n] (Wenn ihr das auf dem Papier macht könnt ihr die Rechenoperatione direkter interpretieren)
4. Basis Werte = [2, 9, 20, 3, 15, 9, 14]
5. Buchstabenliste = [„b“, „i“, „t“, „c“, „o“, „i“, „n“]
6. Wort = Bitcoin

Anmerkungen

• Ich würfel mit 4 Würfeln, um die Wahrscheinlichkeit einer Kollision am Rand des Zahlenbereiches zu minimieren. Ich denke das Verwenden von 3 Würfeln wäre auch ok, 2 wären aber zu wenig.
• Man sollte 10 seitige Würfel verwenden, 0-9.
• Bei BIP39 Wörtern müsste man nicht das ganze Wort, sondern nur die ersten 4 Buchstaben sichern, um das Wort eindeutig identifizierbar zu machen.
• Man sollte die Wiederherstellung bei diesem (wie auch bei allen anderen Backup Verfahren) auf jeden Fall proben, um sicherzustellen, dass man alles richtig gemacht hat.
• Da, anders als beim Shamir Secret Sharing, beim Additive/Subtractive Secret Sharing jeder Teil benötigt wird, sollte man von jedem Teil mehrere Kopien an verschiedenen sicheren Orten haben.

Der Prozess in Code Form:

Für die unter euch, die coden können, habe ich hier die Darstellung des Prozesses als Code (noch in Entwicklung und unvollständig, weil ich hier nicht alles zu spamen möchte, betrachtet es als Demo) Bedenkt das sich [1] in der Beschreibung oben zu [0] im Code unten bezieht.
Wenn jemand Interesse am vollständigem Code hat, schicke ich den gerne.

def word_to_shares_core(word):
    if word == None:
        word = word_input()
    base_value = letters_to_numbers(word)
    share_1 = create_share_1()
    share_2 = create_share_2(base_value, share_1)
    global share_1_stack
    global share_2_stack
    share_1_stack.append(share_1)
    share_2_stack.append(share_2)
    print_shares(word, share_1, share_2)
    

def word_input():
    word = input("word: ")
    word = list(word)
    return word


def create_share_1():
    share_1 = [0,0,0,0]
    share_1[0] = int(input("Roll 4 (ten sided) dices: "))
    share_1[1] = int(input("Roll 4 (ten sided) dices: "))
    share_1[2] = int(input("Roll 4 (ten sided) dices: "))
    share_1[3] = int(input("Roll 4 (ten sided) dices: "))
    return share_1

def create_share_2(base_value, share_1):
    share_2 = [0,0,0,0]
    share_2[0] = base_value[0] - share_1[0]
    share_2[1] = base_value[1] - share_1[1]
    share_2[2] = base_value[2] - share_1[2]
    share_2[3] = base_value[3] - share_1[3]
    
    
    print(share_2)
    return share_2


def print_shares(word, share_1, share_2):
    print("")
    print(f"Word: {word} ")
    print("Share 1: ", share_1)
    print("Share 2: ", share_2)
    print("")

Den benefit siehst Du worin?

Wollte ich auch gerade schreiben.

Abgesehen davon, dass das Verfahren zu kompliziert, aufwendig und fehleranfällig ist (keine Redundanz / Robustheit ggü. Fehlern), bietet es bei der Sicherung keinen signifikanten Vorteil.

Du splittest in 2 Shares, von denen du auch immer beide benötigst.

Bei SSS, Multisig oder Mnemonic Split reichen 2 von 3 Shares. Damit hast du einen Schutz gegen Verlust und Diebstahl und letzteres Verfahren ist auch noch wesentlich einfacher.

Im Vergleich zu deiner Lösung wäre es nahezu äquivalent, die 24 Wörter einfach in zwei Shares mit jeweils 12 Wörtern aufzuteilen (1-12 und 13-24). Komplett ohne Würfeln und Rechnen, aber inklusive Schutz ggü. Schreibfehlern.

Es ist immer sinnvoll sich zuerst einmal zu überlegen, welche Features das Sicherungsverfahren bieten soll:

→ Wallet-Backups: Ein Überblick über verbreitete Strategien

Vorteile gegenüber einem einfachen Seed Phrase Split:
Wenn man seine Seed Phrase in 2 mal 12 Wörter teilt und jemand dann einen Teil findet, dann ist die Seed Phrase zum Teil kompromittiert und man müsste alle seine Coins auf eine neue Seed Phrase überweisen.
Wenn man seine Seed Phrase so teilt, wie ich das beschrieben habe, dann enthält kein Teil alleine irgendeine relevante Information.
Wenn ein Teil kompromittiert ist kann man seine Seed Phrase behalten und einfach neue Shares erstellen.
Wenn man will kann man auch einfach regelmäßig neue Shares erstellen (Optional).

Vorteile gegenüber dem Shamir Secret Sharing:
Shamir Secret Sharing erfordert komplizierte Berechnungen die kaum jemand auf dem Papier ausführen kann.
Meine Methode erfordert nur simple Substraktion und Addition.

Das Verfahren ist deutlich weniger fehleranfällig als das Shamir Secret Sharing und ich habe nicht ohne Grund in die Anmerkungen geschrieben das man sein Backup testen soll (was man immer machen sollte)

Das Problem mit dem einfachem Split wird hier in 5 Minuten erklärt, genauso der Vorteil von Mathematischen Methoden:

Das Shamir Secret Sharing ist gut, hat aber auch Nachteile:

1. Es lässt sich nicht auf dem Papier ausführen, außer man kann folgendes auf dem Papier:
   Um ein zufälliges Polynom zu erstellen, wähle ein Polynom f(x) vom Grad k-1, das die Form f(x) = S + a1x + a2x² + … + ak-1x^(k-1) hat. Dabei ist S das Geheimnis, und a1, a2, …, ak-1 sind zufällige Koeffizienten, die aus einem geeigneten Feld, wie einem endlichen Körper, ausgewählt werden.
   Anschließend generiere die Teile, indem du die Werte des Polynoms an bestimmten Punkten berechnest. Dies geschieht, indem du die Paare (xi, f(xi)) für i = 1, 2, …, n erstellst, wobei xi eindeutige Werte sind, zum Beispiel xi = i.
   Das ist deutlich komplizierter als das hier vorgestellte System
2. Wenn man es auf einem PC macht der je wieder Kontakt zum Internet hat, kompromittiert man potenziell seine Seed Phrase.
3. Der einzige Weg es sicher zu verwenden ist eine SLIP39 Seed auf dem Trezor oder Keystone zu erstellen.

Zu 3.

• Nicht jeder verwendet einen Trezor (auch wenn es die beste Hardware Wallet ist)
• SLIP39 ist mit den meisten anderen Geräten nicht kompatibel, falls man darauf zugreifen muss
• SLIP39 lässt sich schwieriger (wenn überhaupt) mit würfeln erstellen.

Also erstens ist eine Sicherheit von 128 Bit ausreichend. Du kannst also überlegen ob du wechselst oder nicht.

Zweitens und viel schlimmer: Wenn dir jemand einen Share klaut oder du ihn verlierst, hast du verloren.

Ein Schreibfehler oder ein mit der Zeit beschädigter Teil der Sicherung (falsche, fehlende oder nicht mehr lesbare Zeichen), und du kommst nie wieder an deine Seedphrase. Das ist bei allen gängigen Verfahren außer der Passphrase besser.

Ich habe im Laufe der Zeit hier viele Diskussionen mit Leuten geführt, die meinten ein neues, besseres Verfahren gefunden zu haben. Leider waren diese Leute in 100% der Fälle beratungstesistent und wollten einfach nur ihren Ansatz verteidigen.

Falls das bei dir anders sein sollte, lese bitte den verlinkten Beitrag und erläutere, warum deine Lösung besser sein soll als die dort erwähnten etablierten Verfahren.

Bis dahin verabschiede ich mich wieder aus dieser Diskussion.

Wenn man seine Coins nicht transferiert und zu einem späterem Zeitpunkt der andere Teil kompromittiert wird, ist die Wallet weg.

Darum schreibe ich ja das man von beiden Shares mehrere kopieren haben soll.

Wie gesagt, sollte man seine Backup Methode IMMER testen.

Ich habe den von dir verlinkten Beitrag gelesen und dann nochmal einen Edit an meine erste Antwort auf eure Nachrichten dran gehängt.

Wenn ich einen Weg übersehen habe ein sicheres Verfahren (kein Informationsgehalt in einzelnen Teilen) auf dem Papier zu erstellen dann korrigiere mich bitte.

Man hat bei einem 2/3 Splitt im Falle der Kompromittierung eines Teils auch nicht 128bit, sondern 80bit. Was wirklich sehr grenzwertig ist.

Ja, genauso wie bei deinem Verfahren.

Darum geht es nicht.

Dein Verfahren bietet einfach keinen praktisch relevanten Vorteil ggü. den Standardverfahren.

Gleichzeitig hat es aber mehrere Nachteile ggü. denselben.

Du hast den verlinkten Beitrag ganz einfach nicht im Detail gelesen, sonst wäre deine Antwort eine andere.

Deshalb…

… bin ich jetzt ab hier raus.

Genau das ist eben der Punkt, es ist anders:

Man hat eine Seed Phrase und teilt diese mit meinem Verfahren.
Dann wird Share 1 Kopie 1 kompromitiert.
Jetzt stellt man seinen Seed mit Share 1 Kopie 2 und Share 2 wieder her.
Anschließend erstellt man aus dem Seed, einen neuen Share 1 und einen neuen Share 2 und vernichtet den alten Share 2. Da der passende Share 2 zum gestohlenem Share 1 nicht mehr existiert ist der gestohlene Share 1 komplett wertlos.
Das ist dasselbe Prinzip wie beim Shamir Secret Sharing.

Vorteil gegenüber dem 2/3 Splitt:
Bei meinem Verfahren enthält kein Share sensible Informationen ohne das man eine Rechenoperation durch den anderen Share ausführt.

Vorteil gegenüber Shamir Secret Sharing:
Das Verfahren lässt sich auf dem Papier ausführen.

Dein Verfahren verschiebt einfach Probleme. Denn Du brauchst eine Sicherung über Dein Vorgehen (Stichwort: Vererbung.), da Du vom Standard abweichst.

Ansonsten hat skyrmion Dir eigentlich schon alles gesagt.

Selbst wenn ein Secret kompromittiert wird, dann reichen die 80bit mehr als aus, um einen neuen Seed zu generieren und seine Funds zu verschieben.

Ich sehe nach wie vor keinen Mehrwert in dem von Dir beschriebenen Verfahren. Ganz im Gegenteil. Ich sehe vor allem potentielle Stolperfallen.

Das Vererben von Krypto ist ein ganz anderes Thema und lässt sich auch mit meinem System regeln.
Das aufteilen der notwendigen Backup Geheimnise an mehrere vertrauenswürdige Personen oder Instanzen ist eine Möglichkeit.
Wenn man z.B einen Teil in einem Umschlag hat und einen anderen in einem Passwort Manager, kann man die Notfallzugrifffunktion des Passwort Managers für Verwandte einrichten. Oder einen vertrauenswürdigen Mail Anbieter nutzten der automatisch den anderen Teil an vertrauenswürdige Personen zustellt wenn man lange genug nicht in dem Mail Account aktiv ist.

Wenn man z.B für die Vererbung den einen Share an einen Mail oder Passwort Anbieter gibt und dieser gehackt wird ohne das man es merkt um sofort seine Coins zu verschieben, dann sind 80bit wirklich sehr sehr grenzwertig und ein absolut unnötiges Risiko.

Man kann doch überprüfen ob man alle richtig gemacht hat in dem man seinen Seed zu Test Zwecken aus dem Backup rekonstruiert, damit ist sichergestellt das man in keinen Fallstrick getreten ist.

Ich meine das aufrichtig:
Wenn es irgendwelche Sicherheitsprobleme mit diesem Verfahren gibt, dann bitte, sag es mir, ich sehe einfach keine.

Danke für diese Methode um die Seed Phrase sicher zu verwahren.

Jetzt habe ich vielleicht eine Möglichkeit meine Seed Phrase sicher zu verwahren bevor ich mit meinem den einrichten meines offline PCs fertig bin.

Ich möchte aber noch etwas abwarten ob jemand eine Sicherheitslücke findet. Also das jemand einen Teil hat und dann irgendwie den anderen Teil erraten kann wenn er das System kennt.

Kennt ihr eine andere Methode die man ohne einen PC nutzen kann und die volle Entropie hat solange nicht alle Teile gefunden sind?

@skyrmion @HODLer

Wenn man (an dieser Stelle) unnötigerweise mehr als 128 Bit möchte, kann man einfach die Passphrase länger machen.

Alles in allem muss man die kryptographische Sicherheit gegen die Sicherheit in anderen Aspekten abwägen.

Deshalb würde ich das Verfahren u. a. aus den schon angesprochenen Gründen selbst nicht verwenden.

Dadurch, dass im Verhältnis zur Spanne 1…26 große Zahlen subtrahiert werden, habe ich aber gegen die kryptographische Sicherheit des Verfahrens nichts einzuwenden, obwohl man sich nicht in einem endlichen Körper befindet. Bis auf diesen Unterschied entspricht es dem Einfachen Secret-Sharing.

Wenn man kleinere Zahlen subtrahiert, wird das Verfahren allerdings irgendwann unsicher.

Also 24 Wörter auf dem Papier und eine 24 Wörter Passphrase in meinem Passwort Manager?

Also ist das Verfahren sicher?
Was wäre anders wenn man in einem endlichem Körper wäre?

Oder einfach beides auf Papier. Dann brauchst du dich nicht auf die Passwort-Manager-Software verlassen.

Für die Passphrase braucht man an der Stelle aber wie gesagt keine 24 Wörter! Wofür? Es reichen 128 Bit, also 20 Zeichen einer üblichen Tastatur.

Wenn jemand deine 24 Wörter hätte und mit einem neuen, uns allen unbekannten Rechner 128 Bit bruteforcen wollte, könnte er entweder:

• deine Passphrase bruteforcen, oder
• einen bekannten Public Key mit Bitcoin im Millionen- bis Milliarden-Wert

Wofür würde er sich wohl entscheiden? Selbst wenn er nicht auffallen möchte, würde er sich eher ein paar Milliönchen sichern, als bei dir auf eine reichere Gesamtwallet zu hoffen.

Selbst in dem Endzeitszenario, dass alle bekannten Public Keys und Wallets mit 128 Bit in einem kurzen Zeitraum bestohlen werden, bringt dir mehr Sicherheit nur wenig, da du deine Coins nicht mehr so einfach transferieren könntest.

Trotz dieser ganzen Argumente verstehe ich den Wunsch nach maximal möglicher Sicherheit von 256 Bit. Ich verteidige das selbst hin und wieder. Aber der Mehrgewinn ggü. 128 Bit wiegt für mich nicht die Nachteile der hier beschriebenen Sicherungsmethode auf.

Ich weiß nicht, wie oft ich es schreiben muss: Sicherheit hat viele Aspekte!

Eine Methode kann kryptographisch sicher sein und maximale 256 Bit bieten, aber insgesamt sehr unsicher sein. Falls man das spitzfindig findet, kann man ja mal im Forum recherchieren, wodurch die meisten Leute ihre Coins verlieren.

Noch nie war das Problem mangelnde krytographische Sicherheit. Fast immer liegt es daran, dass die Sicherungsmethode zu komplex für den Anwender war, etwas vergessen wurde, Fehler bei der Sicherung gemacht wurden, oder jemand betrogen wurde.

Natürlich heißt das im Umkehrschluss nicht, dass man die ganzen anderen Aspekte außer Acht lassen darf. Aber bei Abwägungen der Sicherungsverfahren gegeneinander ist z.B. für den Normalanwender eine ausreichende kryptographische Sicherheit und ein super-einfaches Verfahren besser, als optimale kryptographische Sicherheit und komplexes Verfahren.

Bei dem hier beschrieben Verfahren gibt es mehrere Nachteile und man kann als Laie Fehler machen, die am Ende auch die kryptographische Sicherheit beeinträchtigen.

Ich habe zwar eigentlich keine Lust ständig alles zehnfach zu schreiben, nur weil die meisten zu faul sind, sich den verlinkten Beitrag selbst durchzulesen, aber hier kurz einige Schwachstellen:

• Den wenigsten dürfte es egal sein, was im Todesfall passiert. Und wenn die Nachkommen noch gar nichts von Bitcoin und Wallets wissen, sind sie immer auf eine exzellente Beschreibung angewiesen.
  Bei den anderen Verfahren ist eine Beschreibung natürlich auch optimal, aber man braucht sie nicht zwingend!
  Nach 10 oder 20 Jahren vergisst man auch selbst leicht mal etwas.
• Jemand könnte zur Vereinfachung einfach andere oder weniger Würfel verwenden. Dabei addiert er am Ende vielleicht auch noch die Würfelergebnisse. In vielen dieser Szenarien wäre der Gewinn an kryptographischer Sicherheit durch das Sharing nur eine trügerische Sicherheit.
  Bei anderen Verfahren hat man nicht so viel Freiheit, kann also auch nicht so viel falsch machen. Bei diesem Verfahren hier ist man gezwungen, sich 1:1 an eine Beschreibung zu halten.
• Das Verfahren ist sehr aufwendig. Unabhängig vom Zeitaufwand muss man aber konzentriert bleiben. Falls nicht, bringt man evtl. etwas durcheinander. Aber ja, das kann man durch eine ebenso aufwendige Überprüfung vermeiden.
• Es gibt keine Plausible Deniability.
• Es gibt keinen Schutz ggü. schlechten Zufallsgeneratoren oder absichtlich eingeschränkten Seedphrases (Hersteller-Betrug), außer man würfelt sich auch seine 24 Wörter.

Die Passphrase ist in all diesen Punkten besser.

Das optimale Verfahren ist immer von der Person abhängig. Wenn jemand nach Abwägung feststellt, dass die obigen Punkte irrelevant sind und der einzelne kleine Vorteil des vorgestellten Verfahrens überwiegt, dann soll er das gerne verwenden.

Ich verstehe wie gesagt den Wunsch nach „voller“ kryptographischer Sicherheit. Trotzdem würde ich persönlich mich nach Abwägung für eines der Standard-Vefahren entscheiden. Außerdem würde ich jedem Anfänger ausdrücklich davon abraten.

Bei dem hier vorgestellten Verfahren verliert man ein kleines bisschen Sicherheit, da die gewürfelten Zahlenwerte beschränkt, aber die Zahlen auf den Shares nicht beschränkt sind. Insbesondere die Zahlen auf Share 2 sind nicht gleichverteilt.

Wenn man z.B. im Share mit den ganzen negativen Zahlen eine +21 sieht, weiß man, dass es sich nur um die Buchstaben U…Z handeln kann.

Abgemildert wird dieser Sicherheitsverlust nur dadurch, dass man sehr große Zahlen subtrahiert (hier: 0…9999). Dadurch ist die Wahrscheinlichkeit gering, am unteren Ende des Zahlenbereichs zu landen.

Würde man kleinere Zahlen subtrahieren, würde dieser Problemfall öfter auftreten. Wenn man zur Verdeutlichung im Extremfall z.b. nur 0…9 subtrahieren würde, hätte man trotz der Subtraktion immer eine Einschränkung, um welche „verschlüsselten“ Buchstaben es sich handeln könnte.

In einem endlichen Körper oder auch nur einer einfachen endlichen Gruppe hätte man dieses Problem nicht, da es keinen Rand des Zahlenbereichs gibt.

Beispiel:

Man würfelt nur mit zwei Würfeln (0…9) eine zweistellige Dezimalzahl N für den ersten Share. Für der zweiten Share subtrahiert man N wie beschrieben von der Buchstaben-Zahl, allerdings modulo 100.

Dann erhält man für beide Shares gleichverteilte Zahlen im Bereich 0…99, aus denen man keinerlei Rückschlüsse auf die Buchstaben-Zahl ziehen kann.

Einen geringen Entropie-Verlust durch die nicht-perfekten Würfel hat man natürlich immer noch. Aber den Verlust durch das Ende des Zahlenbereichs ist man los.

Das Verfahren wird dann für Laien noch etwas komplizierter. Es entspricht dann exakt dem bekannten einfachen (additiven) Secret-Sharing.

Ich fühle mich unwohl damit das jeder der es schafft meine Haustür einzutreten theoretisch auch alles stehlen kann was ich mir anspare.

Das ist schon ein berechtigtes Argument, ich muss mir das noch überlegen.

Man kann ja eine Test Wiederherstellung machen, Trezor bietet zunindest so etwas an.

Für den Todesfall oder eigenes vergessen kann man ja einen Totmamschalter einrichten der den anderen Teil automatisch freigibt wenn mam nichts tut. Das würde auch greifen falls man irgendwie den Zugriff verliert.

Bei anderen Verfahren muss man sich sich doch auch 1:1 an die Regeln halten.
Wenn man bei Shamir eine Sache falsch stellt ist bestimmt auch alles ruiniert, aber das kann kaum jemand überprüfen weil die Mathematik dabei viel zu kompliziert ist

Wenn ich versuche Shamir zu berechnen müsste ich mich doch viel mehr konzentrieren und könnte viel mehr falsch machen.

Mam kann doch 1 Wort zu diesem Split als Passphrase nehmen und dahinter seine Coins verstecken. Ich glaube ich würde auch die PIN meiner Hardware Wallet als Passphrase nehmen.

Vielleicht bin ich zu paranoid, aber ich würde mir meine Seed Phrase immer auswürfeln damit ich dem Zufallsgenerator der Wallet nicht vertrauen muss. Einen hot Generator kann man natürlich sibieso nicht nehmen ohne die Seed Phrase selbst hot zu machen.

Danke für die Erklärung, das erklärt auch warum @Glorious_Crypto auf 4 Würfel besteht.
Wenn der Bereich klein wäre, würde man ständig am Rand sein und das Verfahren wäre unsicher.

Wäre aber komplizierter als einfach 4 Würfel oder nicht?
Viele wissen bestimmt nicht mal wie man modulo 100 macht.

Vielen dank für die Antwort

Das ist ein wichtiger Punkt der verdeutlich warum 4 Würfel so wichtig sind.
Wahrscheinlichkeit auf begrenztem Zahlenbereich:
Bei 2 Würfeln: 26%
Bei 3 Würfeln: 2,6%
Bei 4 Würfeln 0,26%

Natürlich ist es bei 0,26% immernoch möglich das einzelne Buchstaben eingeschränkt werden, aber nicht so oft das man die Wallet erratten kann.

Es spricht nichts dagegen jedem Share eine Anleitung beizulegen.

Man kann immer noch eine zusäztliche Passphrase hinzufügen.

Kein Split kann dagegen absichern das die Seed schlecht generiert wurde.
Wenn man keiner Elektronik dafür vertrauen will, muss man sich den Seed auswürfeln.

Könnte man das auch mit Wörtern statt Buchstaben machen?
Also jedem Wort eine Nummer zwischen 1 und 2048 geben und dann dasselbe Verfahren anwenden?

Wenn man jedem Wort eine Zahl von 1 bis 2048 zuweist hätte man einen Pool von 2048 Zahlen.
Ich würde jetzt pauschal sagen das man dann mit mindestens 6 Würfeln (0-9), würfeln sollte um einen sicheren Share 1 zu erstellen.
Wenn ich meine kleine Rechnung korrekt ist, dann ist die Wahrscheinlichkeit für eine Kollision bei 2048 Zahlen und 6 Würfeln 0.2048% (das habe ich nicht extra gemacht xD)