تخطي إلى المحتوى الرئيسي

جملة مرور BIP-39 (الكلمة الخامسة والعشرون): أمان المحفظة المتقدم

جملة مرور BIP-39 — والمعروفة عادةً باسم "الكلمة الخامسة والعشرون" — هي إحدى أقوى ميزات الأمان وفي الوقت ذاته الأكثر التباساً المتاحة في محافظ العملات الرقمية. تضيف سلسلة نصية مختارة من قبل المستخدم إلى عملية اشتقاق البذرة، مما يتسبب في أن تنتج جملة الكلمات الاستذكارية نفسها مجموعة مختلفة تماماً من المفاتيح والعناوين. عند استخدامها بشكل صحيح، توفر دفاعاً متعدد الطبقات ضد تسرب جملة البذرة. عند استخدامها بإهمال، قد تؤدي إلى فقدان دائم للأموال.

يغطي هذا الدليل بالضبط كيفية عمل جملة المرور، ومتى يتم استخدامها، والمخاطر التي تقدمها، وكيفية تنفيذها بأمان.

كيفية عمل جملة المرور

الآلية التقنية

كما هو موضح في معيار BIP-39، تستخدم عملية اشتقاق البذرة PBKDF2-HMAC-SHA512:

Seed = PBKDF2(
    password = mnemonic_words,
    salt     = "mnemonic" + passphrase,
    iterations = 2048,
    key_length = 512 bits
)

عندما لا يتم تعيين جملة مرور، تكون القيمة الملحية ببساطة السلسلة "mnemonic". عندما يتم توفير جملة مرور، يتم ربطها بالقيمة الملحية: "mnemonic" + "YourPassphrase". نظراً لأن القيمة الملحية مختلفة، فإن مخرجات PBKDF2 مختلفة تماماً، مما ينتج مفتاح رئيسي مختلف تماماً، وبالتالي مسارات اشتقاق مختلفة تماماً، ومفاتيح خاصة، ومفاتيح عامة، وعناوين.

الخصائص الرئيسية

كل جملة مرور صحيحة. لا توجد آلية تحقق أو التحقق من جملة المرور. أي سلسلة — بما فيها سلسلة فارغة، أو حرف واحد، أو جملة بـ 500 حرف — تنتج محفظة صحيحة. إدخال جملة مرور خاطئة لا ينتج رسالة خطأ؛ بل يفتح محفظة مختلفة صامتة (عادةً فارغة).

نفس الكلمات الاستذكارية، محافظ مختلفة. محفظة بـ 24 كلمة مع جملة مرور "alpha" تنتج محفظة مختلفة تماماً عن نفس الكلمات الاستذكارية مع جملة مرور "bravo". لا توجد علاقة تشفيرية بين المحفظتين يمكن للمهاجم اكتشافها.

الحالة والترميز مهمان. تنتج "MyPassphrase" و "mypassphrase" محافظ مختلفة. جملة مرور بمسافة بيضاء زائدة مختلفة عن واحدة بدون. يتم تطبيع جملة المرور باستخدام UTF-8 NFKD قبل التجزئة، لكن بعد ذلك، يلزم مطابقة الأحرف الدقيقة.

لماذا تستخدم جملة مرور

الحماية ضد سرقة جملة البذرة

إذا قام مهاجم بسرقة جملة البذرة التي تحتوي على 24 كلمة (من نسخة احتياطية ورقية أو صفيحة معدنية أو جهاز مخترق)، يمكنهم الوصول إلى جميع الأموال في المحفظة — ما لم تكن جملة مرور قد تم تعيينها. بدون جملة المرور، سيرى المهاجم فقط المحفظة "الأساسية" (المشتقة مع جملة مرور فارغة). أموالك الفعلية، المخزنة في محفظة محمية بجملة المرور، تبقى غير متاحة.

يحول هذا أمانك من عامل واحد (شيء لديك — جملة البذرة) إلى عاملين (شيء لديك — جملة البذرة، وشيء تعرفه — جملة المرور).

الإنكار المعقول

نظراً لأن كل جملة مرور تنتج محفظة صحيحة، يمكنك الحفاظ على عدة محافظ من جملة البذرة نفسها:

  • بدون جملة مرور — محفظة محاكاة بمبلغ صغير من الأموال.
  • جملة مرور "alpha" — محفظتك الرئيسية بثروة كبيرة.
  • جملة مرور "bravo" — محفظة ثانوية لحماية إضافية.

إذا تم إجبارك على الكشف عن جملة البذرة الخاصة بك (هجوم "مفتاح الشد بـ 5 دولارات")، يمكنك توفير جملة البذرة بدون جملة المرور. يرى المهاجم محفظة حقيقية ببعض الأموال، ولا توجد طريقة لديهم لمعرفة ما إذا كانت محافظ محمية بجملة مرور إضافية موجودة، وقد يكونون راضين بما يجدونه.

غالباً ما يُشار إلى هذا باسم استراتيجية "محفظة الإكراه" أو "محفظة الحماية".

الحماية ضد أجهزة محفظة مخترقة

إذا كانت محفظة الأجهزة تحتوي على ثغرة في سلسلة التوريد (باب خلفي في مولد الأرقام العشوائية، على سبيل المثال)، قد يعرف المهاجم جملة البذرة التي تم إنشاؤها بواسطة الجهاز. جملة مرور مختارة من قبل المستخدم لم يتم إدخالها أو إنشاؤها بواسطة محفظة الأجهزة تضيف熵 لا يملكها المهاجم.

كيفية إعداد جملة مرور

محافظ الأجهزة

تدعم معظم محافظ الأجهزة الرئيسية جملة مرور BIP-39:

Ledger:

  1. في Ledger Live، انتقل إلى الإعدادات.
  2. قم بتفعيل "Passphrase" ضمن الإعدادات المتقدمة.
  3. هناك وضعان: "Attached to PIN" (يخزن تجزئة على الجهاز للراحة) و "Temporary" (يجب إدخالها في كل مرة).
  4. اختر جملة المرور الخاصة بك وأكدها.

Trezor:

  1. في Trezor Suite، قم بتفعيل ميزة جملة المرور.
  2. في كل مرة تتصل فيها، سيطالبك Trezor بجملة المرور.
  3. يمكنك إدخال أي جملة مرور — لا يتم تخزين أي تأكيد.

Coldcard:

  1. انتقل إلى Passphrase في القائمة.
  2. أدخل جملة المرور الخاصة بك على الجهاز.
  3. يعرض Coldcard العنوان الأول المشتق — تحقق من أنه يطابق التوقعات.

محافظ البرامج

عادةً ما تقدم محافظ البرامج التي تدعم جملة مرور BIP-39 الخيار أثناء الإعداد الأولي أو استيراد البذرة. ابحث عن "Advanced options" أو "Optional passphrase" أو "25th word" في سير الإعداد.

اختيار جملة مرور قوية

يجب أن تحتوي جملة المرور على熵 كافية للمقاومة ضد هجمات القوة الغاشمة إذا تم المساس بجملة البذرة:

نوع جملة المرورالإنتروبيا التقريبيةالوقت المتوقع لكسر القوة الغاشمة (ASIC)
كلمة إنجليزية عادية~10 bitsثوان
عبارة عشوائية من 4 كلمات~50 bitsسنوات
عبارة عشوائية من 6 كلمات~75 bitsملايين السنين
20+ حرف عشوائي~120+ bitsنهاية الكون

التوصيات:

  • استخدم 4-6 كلمات مختارة عشوائياً على الأقل أو 16+ حرف عشوائي.
  • لا تستخدم معلومات شخصية (الأسماء، أعياد الميلاد، عبارات شائعة).
  • لا تستخدم كلمة قاموس واحدة.
  • فكر في استخدام مولد جملة مرور (مثل diceware) بدلاً من اختراعها بنفسك.

استراتيجيات النسخ الاحتياطي لجملة المرور

جملة المرور الآن جزء من السر استرجاعي. إذا فقدت جملة البذرة أو جملة المرور، تفقد الوصول إلى أموالك. يؤدي هذا إلى تحدي النسخ الاحتياطي: تحتاج إلى تخزين كليهما، لكن تخزينهما معاً يهزم الغرض.

الاستراتيجية 1: مواقع تخزين منفصلة

  • قم بتخزين جملة البذرة في الموقع A (على سبيل المثال، خزنة مقاومة للحريق في المنزل).
  • قم بتخزين جملة المرور في الموقع B (على سبيل المثال، صندوق إيداع آمن في بنك).
  • يحتاج المهاجم إلى المساس بكلا الموقعين.

الاستراتيجية 2: الحفظ في الذاكرة + النسخة الاحتياطية المادية

  • احفظ جملة المرور في ذاكرتك.
  • احتفظ بنسخة احتياطية مشفرة من جملة المرور في موقع منفصل عن جملة البذرة.
  • إذا أصبحت عاجزاً، تضمن النسخة الاحتياطية المشفرة أن ورثتك يمكنهم استرجاع الأموال.

الاستراتيجية 3: تقسيم السر لشامير لجملة المرور

  • قسّم جملة المرور إلى حصص باستخدام تقسيم السر لشامير.
  • وزّع الحصص على عدة أطراف موثوقة.
  • يتطلب M من N حصة لإعادة البناء.

ما لا تفعله

  • لا تخزن جملة المرور جنباً إلى جنب مع جملة البذرة. هذا يلغي فائدة الأمان تماماً.
  • لا تعتمد على الحفظ في الذاكرة وحده. الذاكرة غير موثوقة، خاصة على مدى سنوات أو عقود.
  • لا تستخدم جملة مرور لا يمكنك إعادة إنتاجها بشكل موثوق. تذكر أن الحالة والمسافات البيضاء والأحرف الدقيقة جميعها مهمة.
  • لا تخزن جملة المرور في مدير كلمات مرور يحتوي أيضاً على جملة البذرة.

المخاطر والأخطار

المخاطرة 1: فقدان الأموال الدائم من جملة مرور منسية

هذه أعظم مخاطرة استخدام جملة مرور. بخلاف جملة البذرة بقيمة تجزئة، لا توجد آلية للتحقق مما إذا كانت جملة المرور "صحيحة". إذا نسيتها، أو تذكرتها بشكل خاطئ حتى حرف واحد، أو أدخلت حرفاً مخفياً (مسافة زائدة، ترميز Unicode خاطئ)، ستفتح محفظة مختلفة وفارغة، وأموالك غير متاحة بشكل دائم.

التخفيف: اختبر جملة المرور الخاصة بك بعناية قبل إرسال الأموال. قم بإعداد المحفظة، تحقق من عنوان الاستقبال الأول، أرسل مبلغاً صغيراً، استعد من جملة البذرة + جملة المرور على جهاز مختلف، وأكد أنك يمكنك الوصول إلى الأموال.

المخاطرة 2: التجسس أثناء إدخال جملة المرور

يجب إدخال جملة المرور في المحفظة في مرحلة ما. في محفظة برمجية، هذا يعني كتابتها على كمبيوتر — حيث يمكن لأجهزة التجسس أو مسجلات الشاشة التقاطها. في محفظة أجهزة بإدخال على الجهاز (Coldcard, Trezor)، يتم إدخال جملة المرور على شاشة الجهاز، وهو أكثر أماناً بكثير.

التخفيف: أدخل جملة المرور فقط في محفظة أجهزة بإدخال على الجهاز، أو على كمبيوتر معزول عن الشبكة.

المخاطرة 3: تعقيدات الوراثة

استخدام جملة مرور يضيف تعقيداً إلى تخطيط الوراثة. يحتاج ورثتك إلى:

  1. جملة البذرة.
  2. جملة المرور.
  3. معرفة بأن جملة مرور موجودة وضرورية.
  4. تعليمات حول كيفية استخدامها.

إذا كان أي منها مفقوداً، الوراثة تفشل. انظر دليل جملة البذرة الكامل لاستراتيجيات تخطيط الوراثة التي تأخذ جملة المرور في الاعتبار.

المخاطرة 4: إحساس خاطئ بالأمان

يمكن كسر جملة مرور ضعيفة (كلمة عادية واحدة، عيد ميلاد، اسم حيوان أليف) إذا كان لدى المهاجم جملة البذرة. يمكن لمهاجم لديه جملة البذرة وعنقود GPU اختبار مليارات مرشحي جملة المرور ضد دالة PBKDF2 المعروفة. استخدم جملة مرور قوية وعشوائية الإنشاء.

المخاطرة 5: أخطاء الكتابة أثناء الإعداد

إذا قمت بإعداد محفظة مع جملة مرور تحتوي على خطأ إملائي غير ملاحظ، ستعمل المحفظة بشكل طبيعي — ستستقبل أموال وتقوم بمعاملات بنجاح. لكن المرة التالية التي تستعيد فيها من جملة البذرة وتدخل جملة المرور بدون خطأ إملائي (أو مع خطأ إملائي مختلف)، ستحصل على محفظة مختلفة. أموالك الآن محاصرة خلف الخطأ الإملائي.

التخفيف: بعد الإعداد، استعد المحفظة فوراً على جهاز مختلف باستخدام جملة البذرة + جملة المرور للتحقق من ظهور نفس العناوين بالضبط.

سوء الفهم حول "الكلمة الخامسة والعشرون"

المصطلح "الكلمة الخامسة والعشرون" تبسيط يمكن أن يكون مضللاً:

  • جملة المرور غير مقتصرة على كلمات قائمة BIP-39. يمكن أن تكون أي سلسلة UTF-8.
  • جملة المرور لا يتم ترميزها ككلمة استذكارية إضافية — يتم استخدامها كجزء من ملح PBKDF2.
  • جملة المرور لا تحتوي على قيمة تجزئة، بخلاف الكلمة الـ 24 من الكلمات الاستذكارية التي تتضمن بتات تجزئة.
  • يمكن أن يكون لكلمات استذكارية بـ 12 كلمة أيضاً جملة مرور — ستكون "الكلمة الـ 13" بهذا المنطق، لكن المصطلح "الكلمة الخامسة والعشرون" يستخدم بشكل عام.

المصطلح الصحيح تقنياً هو "جملة مرور BIP-39" أو "جملة مرور الكلمات الاستذكارية".

أداة SafeSeed

استخدم أداة اشتقاق المفاتيح SafeSeed لرؤية كيفية إنشاء جملات مرور مختلفة عناوين مختلفة تماماً من جملة البذرة نفسها. أدخل كلمات استذكارية اختبار مع وبدون جملة مرور لمراقبة التأثير. جميع الحسابات تجري في متصفحك — لا يتم نقل أي بيانات.

جملة المرور مقابل PIN المحفظة مقابل كلمة المرور

غالباً ما يتم الخلط بين هذه الثلاث مفاهيم:

الميزةجملة مرور BIP-39PIN المحفظةكلمة مرور المحفظة
ما الذي تحميهاشتقاق البذرةوصول الجهازوصول التطبيق
أين يتم التخزينفي لا مكان (تحفظها في الذاكرة)على الجهازعلى الجهاز/الخادم
هل يمكن تغييرهالا (تنشئ محفظة جديدة)نعمنعم
إذا نسيتهاالأموال غير متاحةإعادة تعيين الجهاز، الاستعادة من البذرةإعادة تعيين كلمة المرور
هدف القوة الغاشمةPBKDF2 مع البذرةقفل الجهازيعتمد على التنفيذ
النطاقجميع المحافظ من البذرةجهاز واحدتطبيق واحد

جملة المرور مختلفة بشكل أساسي لأنها تغير المفاتيح المشتقة. رقم التعريف الشخصي أو كلمة المرور ببساطة تحكم الوصول إلى مفاتيح موجودة بالفعل على الجهاز.

حالات الاستخدام المتقدمة

محافظ متعددة مخفية

يمكن لمستخدمي الطاقة الحفاظ على عدة محافظ من جملة بذرة واحدة:

  • جملة مرور فارغة: مبلغ صغير (محاكاة)
  • جملة مرور A: الادخارات الرئيسية
  • جملة مرور B: تخصيص التداول
  • جملة مرور C: احتياطي الطوارئ

كل محفظة مستقلة تماماً. لا توجد علاقة على السلسلة بينها. تتسع المخاطرة مع عدد جملات المرور التي يجب عليك تذكرها والنسخ الاحتياطية منها.

الدمج مع التوقيعات المتعددة

للتخزين المؤسسي أو ذي القيمة العالية جداً، دمج جملة مرور BIP-39 مع التوقيعات المتعددة:

  • مفتاح كل موقع يُشتق من جملة بذرة + جملة مرور فريدة.
  • يحتاج المهاجم إلى الحصول على عدة جملات بذرة و جملات مرور المقابلة لها.
  • هذا يوفر طبقات أمان مستقلة متعددة.

الأسئلة الشائعة

ما هي جملة مرور BIP-39 أو "الكلمة الخامسة والعشرون"؟

جملة مرور BIP-39 هي سلسلة نصية اختيارية مختارة من قبل المستخدم يتم إضافتها إلى عملية اشتقاق البذرة (ملح PBKDF2). عند استخدامها، تتسبب في أن تنتج جملة البذرة الاستذكارية نفسها مجموعة مختلفة تماماً من المفاتيح والعناوين. يشار إليها عادةً باسم "الكلمة الخامسة والعشرون"، على الرغم من أنها يمكن أن تكون أي سلسلة نصية، وليست فقط كلمة BIP-39.

هل يمكنني تغيير جملة المرور الخاصة بي؟

لا بالطريقة التي يمكن بها تغيير كلمة مرور عادية. لأن جملة المرور تحدد المفاتيح المشتقة، فإن تغيير جملة المرور يعني فتح محفظة مختلفة بعناوين مختلفة. للـ "تغيير" جملة المرور الخاصة بك، يجب عليك إنشاء محفظة جديدة بجملة المرور الجديدة وتحويل جميع الأموال من محفظة جملة المرور القديمة إلى الجديدة.

ماذا يحدث إذا نسيت جملة المرور الخاصة بي؟

تصبح أموالك غير متاحة بشكل دائم. لا توجد آلية استرجاع، لا خيار إعادة تعيين، ولا طريقة لكسر جملة مرور قوية بالقوة الغاشمة. هذا هو السبب في أن النسخ الاحتياطي الصحيح لجملة المرور ضروري.

هل يتم تخزين جملة المرور على محفظة الأجهزة الخاصة بي؟

تقدم بعض محافظ الأجهزة خياراً لربط جملة مرور برقم تعريف شخصي ثانوي (على سبيل المثال، وضع "Attached to PIN" في Ledger). في هذه الحالة، يتم تخزين تلميح أو قيمة تجزئة على الجهاز للراحة. ومع ذلك، الطريقة القانونية هي وضع "Temporary"، حيث يجب إدخال جملة المرور في كل مرة ولا يتم تخزين أي شيء على الجهاز.

هل تدعم كل محفظة جملة مرور BIP-39؟

تدعم معظم محافظ التي تتوافق مع BIP-39 ميزة جملة المرور، لكن البعض لا يكشفها في واجهة المستخدم الخاصة به. تحقق من توثيق محفظتك. تدعم جميع محافظ الأجهزة الرئيسية (Ledger, Trezor, Coldcard) جميعها.

هل يمكن للمهاجم معرفة ما إذا كنت أستخدم جملة مرور؟

لا. نظراً لأن الافتراضي (جملة مرور فارغة) ينتج أيضاً محفظة صحيحة، لا توجد طريقة لت