<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Apr 8, 2017 at 2:01 PM, Harlan Lieberman-Berg <span dir="ltr"><<a href="mailto:hlieberman@setec.io" target="_blank">hlieberman@setec.io</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Phillip Hallam-Baker <<a href="mailto:phill@hallambaker.com">phill@hallambaker.com</a>> writes:<br>
> Making such a scheme usable is somewhat tricky because we would want to<br>
> make the shares used to secure the key to be as small as possible for<br>
> convenience which indicates 128 bit work factor for the master key.<br>
<br>
</span>Why not simply use Shamir's Secret Sharing?  The security properties are<br>
much stronger (SSS is information-theoretic secure such that a (k,n)<br>
construction reveals no information with k-1 shares known.  The size is<br>
fairly minimal too; IIRC, each share is no larger than the key itself<br>
(thus, the total construction is n*bit size).<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">​I am using Shamir Secret Sharing. But that only gets you from a set of key shares to a master secret. You still have to get from the master secret to the encryption key.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">If you use 256 bits for the master key you end up with 256 bit shares.​</div></div></div></div>