OpenAI
Αυτή η σελίδα μεταφράστηκε αυτόματα. Δείτε το πρωτότυπο άρθρο στα αγγλικά.

Τεχνικές συνήθεις ερωτήσεις EKM

Απαντήσεις σε συνήθεις τεχνικές ερωτήσεις σχετικά με τη συμπεριφορά, τα δικαιώματα και τον κύκλο ζωής κλειδιών του EKM

Τελευταία ενημέρωση: yesterday

Έννοιες κρυπτογράφησης

Ροή υψηλού επιπέδου

  • Ελέγχετε ένα κύριο κλειδί στο cloud σας, το οποίο η OpenAI δεν βλέπει ποτέ

  • Το κύριο κλειδί σας χρησιμοποιείται για την κρυπτογράφηση κλειδιών κρυπτογράφησης δεδομένων (DEK) που χρησιμοποιεί η OpenAI

  • Η OpenAI χρησιμοποιεί τα DEK για να κρυπτογραφεί τα δεδομένα σας σε κατάσταση αδράνειας. Ένα DEK κρυπτογραφείται από το κύριο κλειδί σας, δημιουργώντας ένα eDEK (κρυπτογραφημένο DEK), το οποίο αποθηκεύεται μαζί με τα δεδομένα σας

  • Για να διαβαστούν τα δεδομένα, η OpenAI λαμβάνει το eDEK, ζητά από το KMS σας να το αποκρυπτογραφήσει σε DEK και στη συνέχεια αποκρυπτογραφεί τα δεδομένα σας

Πώς λειτουργεί η κρυπτογράφηση EKM;

Ανατρέξτε στο άρθρο μας για αναλυτικές πληροφορίες: Επισκόπηση του OpenAI Enterprise Key Management (EKM)

Αποθηκεύει η OpenAI τα DEK μου;

Όχι - αποθηκεύουμε τα κρυπτογραφημένα DEK (eDEK), τα οποία δημιουργούνται από το KMS σας. Για να αποκρυπτογραφήσουμε τα δεδομένα, ζητάμε από το KMS σας να αποκρυπτογραφήσει το eDEK ξανά σε DEK.

Αποθηκεύει η OpenAI προσωρινά τα DEK μου;

Ναι - μόνο στη μνήμη. Αυτό γίνεται για απόδοση, ώστε να αποφεύγονται κλήσεις στο KMS σας σε κάθε αίτημα κρυπτογράφησης/αποκρυπτογράφησης δεδομένων. Τα DEK δεν εγγράφονται ποτέ σε αποθηκευτικό χώρο.

Δικαιώματα cloud

Τι δικαιώματα θα έχει η OpenAI στο KMS μου;

Μόνο τα δικαιώματα που μας παραχωρείτε μέσω της πολιτικής που ορίζετε. Χρειαζόμαστε τουλάχιστον λειτουργίες Encrypt/Decrypt. Δημιουργήστε επίσης ένα νέο κλειδί στο cloud KMS σας για την OpenAI αντί να επαναχρησιμοποιήσετε υπάρχοντα κλειδιά που έχουν παραγωγικό σκοπό.

Πότε αποκτά η OpenAI δικαιώματα πρόσβασης στο KMS μου;

Πρέπει να έχουν γίνει όλα τα εξής βήματα: 1. να έχετε αναγνωρίσει την ταυτότητα της OpenAI (μέσω trust policy, workload identity κ.λπ. ανάλογα με τον πάροχο cloud), 2. να έχετε δημιουργήσει μια πολιτική για πρόσβαση στο KMS και 3. να έχετε εκχωρήσει στην ταυτότητα της OpenAI το δικαίωμα πρόσβασης στην πολιτική. Αν απλώς δημιουργήσετε το KMS χωρίς να κάνετε όλα αυτά τα βήματα, η OpenAI δεν έχει πρόσβαση.

Πρέπει να αποθηκεύω το κύριο κλειδί μου στο cloud μου;

Όχι - εναπόκειται σε εσάς το πώς θα διαχειρίζεστε το κύριο κλειδί σας. Μπορείτε να έχετε μια λύση διαχειριζόμενη από το cloud ή μια εξωτερική όπου το κλειδί σας αποθηκεύεται ξεχωριστά. Η OpenAI χρειάζεται μόνο να καλεί λειτουργίες encrypt/decrypt στο KMS σας - το πώς ακριβώς το κύριο κλειδί εκτελεί την κρυπτογράφηση/αποκρυπτογράφηση είναι μια λεπτομέρεια υλοποίησης που δεν είναι ορατή σε εμάς.

Κύκλος ζωής κλειδιού

Περιστροφή DEK/eDEK (ελέγχεται από την OpenAI)

Κάθε πότε γίνεται περιστροφή των DEK/eDEK;

Κάθε 24 ώρες στη διαδρομή κρυπτογράφησης (αίτημα για ζεύγος κλειδιών DEK/eDEK)

Κάθε 1 ώρα για τη διαδρομή κλειδιού αποκρυπτογράφησης (DEK -> eDEK)

Πρέπει να κάνω κάτι όταν αλλάζει το DEK;

Όχι - η περιστροφή DEK/eDEK γίνεται εντός της OpenAI. Όσο το κύριο κλειδί σας παραμένει έγκυρο, οποιαδήποτε eDEK έχουν κρυπτογραφηθεί από το κύριο κλειδί σας μπορούν να συνεχίσουν να αποκρυπτογραφούνται σε DEK, το οποίο στη συνέχεια χρησιμοποιείται για την αποκρυπτογράφηση των δεδομένων σας.

Περιστροφή και ανάκληση κύριου κλειδιού (ελέγχεται από εσάς)

Κάθε πότε γίνεται περιστροφή και ανάκληση κλειδιού;

Αυτό καθορίζεται από εσάς, καθώς η OpenAI δεν έχει ορατότητα στο κύριο κλειδί σας.

Ποια είναι η διαφορά μεταξύ περιστροφής κλειδιού και ανάκλησης κλειδιού;

Η ανάκληση κλειδιού αφαιρεί την πρόσβαση σε δεδομένα που έχουν κρυπτογραφηθεί με παλαιότερα κλειδιά. Η περιστροφή κλειδιού κρυπτογραφεί δεδομένα με νέο κλειδί, αλλά διατηρεί την πρόσβαση ανάγνωσης σε παλαιότερα δεδομένα.

Τι συμβαίνει αν ανακαλέσω το κύριο κλειδί μου;

Αν ένα κλειδί ανακληθεί ή αφαιρεθούν δικαιώματα, ο χώρος εργασίας θα καταστεί τελικά μη λειτουργικός μόλις λήξουν τα κλειδιά που είναι αποθηκευμένα στην cache. Σε εκείνο το σημείο, η OpenAI δεν θα μπορεί πλέον να αποκρυπτογραφεί αποθηκευμένα δεδομένα ή να κρυπτογραφεί νέα δεδομένα. Ουσιαστικά, τα δεδομένα «καταστρέφονται».

Πόσο γρήγορα τίθεται σε ισχύ η ανάκληση;

Η OpenAI αποθηκεύει DEK στη μνήμη για απόδοση και ανθεκτικότητα. Η ανάκληση τίθεται συνήθως σε ισχύ μέσα σε μία ώρα, μόλις λήξουν τα κλειδιά στην cache και αποτύχει η εκ νέου επικύρωση.

Μπορεί η ανάκληση να δοκιμαστεί με ασφάλεια;

Η δοκιμή ανάκλησης σε χώρο εργασίας παραγωγής δεν συνιστάται, επειδή θα καταστήσει μόνιμα μη προσβάσιμα τα υπάρχοντα δεδομένα. Ωστόσο, οι πελάτες μπορούν (και πρέπει) να δοκιμάζουν την ανάκληση σε περιβάλλον sandbox για να επαληθεύουν τη σωστή συμπεριφορά και να επιβεβαιώνουν τις παραδοχές εμπιστοσύνης τους.

Αν ένα κλειδί ανακληθεί μόνιμα, μπορεί να ανακτηθεί ο χώρος εργασίας με την προσάρτηση νέου κλειδιού;

Όχι. Μόλις χαθεί το κλειδί, τα δεδομένα δεν μπορούν να ανακτηθούν εκ σχεδιασμού. Η μόνη αποκατάσταση είναι να δημιουργήσετε έναν νέο χώρο εργασίας.

Τι πρέπει να κάνουμε αν ένας χώρος εργασίας γίνει μη προσβάσιμος λόγω αλλαγών κλειδιού;

Η αναμενόμενη αποκατάσταση είναι η δημιουργία νέου χώρου εργασίας. Η ενημέρωση του KMS δεν θα ανακτήσει τα υπάρχοντα δεδομένα.

Ποιο είναι το σχέδιο επαναφοράς αν αποφασίσουμε να σταματήσουμε να χρησιμοποιούμε CMEK;

Προς το παρόν, δεν υπάρχει σχέδιο επαναφοράς. Μόλις δημιουργηθεί ένας χώρος εργασίας με CMEK, όλα τα σχετικά δεδομένα κρυπτογραφούνται με κλειδιά που διαχειρίζεται ο πελάτης και δεν είναι προσβάσιμα χωρίς αυτά. Ο μόνος τρόπος να διακοπεί η χρήση του CMEK είναι να δημιουργηθεί νέος χώρος εργασίας — τα υπάρχοντα κρυπτογραφημένα δεδομένα θα παραμείνουν μόνιμα μη προσβάσιμα.

Τι συμβαίνει όταν περιστρέφω το κύριο κλειδί μου;

Θα δημιουργηθεί νέο κρυπτογραφικό υλικό για την κρυπτογράφηση, ώστε τα νέα αιτήματα κρυπτογράφησης να χρησιμοποιούν το νέο κλειδί. Ωστόσο, το αναγνωριστικό KMS (ARN ή όνομα κλειδιού) παραμένει το ίδιο και τα παλιά δεδομένα εξακολουθούν να μπορούν να αποκρυπτογραφηθούν. Πολλοί πάροχοι cloud προσφέρουν αυτόματη περιστροφή κλειδιού (AWS, GCP, Azure).

Η OpenAI ξανακρυπτογραφεί παλαιότερα δεδομένα όταν περιστρέφω το κύριο κλειδί μου;

Όχι. Το νέο κρυπτογραφικό υλικό θα χρησιμοποιηθεί μόνο για την κρυπτογράφηση νέων δεδομένων.

Πόσος χρόνος χρειάζεται για να τεθεί σε ισχύ μια περιστροφή ή ανάκληση κλειδιού;

1 ώρα. Αυτό συμβαίνει επειδή τα DEK/eDEK αποθηκεύονται προσωρινά στη μνήμη και επανεπικυρώνουμε αυτές τις εγγραφές με το KMS σας ανά ώρα.

Αλλαγή του αναγνωριστικού KMS

Η αλλαγή του αναγνωριστικού KMS είναι ανάκληση κλειδιού ή περιστροφή κλειδιού;

Ανάκληση κλειδιού. Ένα κλειδί δεν μπορεί να αποκρυπτογραφήσει δεδομένα που έχουν κρυπτογραφηθεί από άλλο κλειδί.

Μπορεί η OpenAI να με βοηθήσει να αλλάξω το αναγνωριστικό KMS για έναν χώρο εργασίας ChatGPT;

Αν επιβεβαιώσετε ότι η πρόθεση είναι να ανακαλέσετε το κλειδί σας, μπορούμε να σας βοηθήσουμε να το κάνετε αυτό για έναν χώρο εργασίας ChatGPT. Σημειώστε ότι όταν ενημερώνεται το KMS ARN, τα παλαιότερα δεδομένα θα παραμείνουν μη προσβάσιμα, οπότε μετά την αλλαγή θα καταλήξετε με ένα μείγμα μη προσβάσιμων και προσβάσιμων δεδομένων.

Μπορεί η OpenAI να με βοηθήσει να αλλάξω το αναγνωριστικό KMS για ένα έργο API;

Αν χρησιμοποιείτε το API, το API διευκολύνει την αρχειοθέτηση και τη δημιουργία νέων έργων, οπότε αρχειοθετήστε το έργο του οποίου τα δεδομένα δεν είναι πλέον προσβάσιμα, καταχωρίστε μια νέα διαμόρφωση EKM στην OpenAI και δημιουργήστε ένα νέο έργο API με το νέο κλειδί KMS.

Τι γίνεται αν θέλω να αλλάζω μόνος μου τακτικά το αναγνωριστικό KMS;

Αυτό δεν συνιστάται, καθώς πιθανότατα δεν θέλετε να ανακαλείτε τακτικά το κλειδί σας. Ωστόσο, μπορείτε να το κάνετε αν χρησιμοποιείτε πάροχο cloud που υποστηρίζει alias κλειδιού KMS (παράδειγμα AWS). Μπορείτε να καταχωρίσετε αυτό το alias κλειδιού KMS στην OpenAI και στη συνέχεια, στον πάροχο cloud σας, να αλλάζετε οποιαδήποτε στιγμή το υποκείμενο αναγνωριστικό KMS στο οποίο δείχνει το alias, ώστε να εκδώσετε ανάκληση κλειδιού.

Συμπεριφορά Beta έναντι GA

Υπάρχουν γνωστοί κίνδυνοι ή αλλαγές σε επίπεδο συστήματος κατά τη χρήση της beta κρυπτογράφησης στην παραγωγή;

Το περιβάλλον beta είναι λειτουργικά ισοδύναμο με το GA και δεν αναμένονται βήματα μετεγκατάστασης. Ο κύριος κίνδυνος είναι ότι ορισμένες λειτουργίες οριακών περιπτώσεων ενδέχεται να μην υποστηρίζουν ακόμη κρυπτογραφημένο περιεχόμενο λόγω μη ολοκληρωμένων διαδρομών κώδικα. Αυτές οι περιπτώσεις είναι σπάνιες και επιλύονται ενεργά. Τα δεδομένα είναι πλήρως κρυπτογραφημένα και προστατευμένα ανεξάρτητα από αυτά τα πιθανά ζητήματα.

Θα υπάρξουν βήματα μετεγκατάστασης από beta σε GA;

Όχι. Οι χώροι εργασίας που χρησιμοποιούν την beta κρυπτογράφησης θα υποστηρίζονται αυτόματα στο GA χωρίς καμία ενέργεια από τον χρήστη.

Πρόσθετες τεχνικές λεπτομέρειες

Κρυπτογράφηση φακέλου & δικαιώματα

Χρειάζεται να παραχωρήσουμε στην OpenAI δικαιώματα GenerateDataKey για το EKM;

Όχι. Η OpenAI απαιτεί μόνο δικαιώματα Encrypt και Decrypt στο κλειδί KMS σας. Το δικαίωμα GenerateDataKey δεν είναι απαραίτητο για την ενσωμάτωση EKM.

Χρησιμοποιεί η OpenAI κρυπτογράφηση φακέλου για τα δεδομένα πελατών;

Ναι. Η OpenAI χρησιμοποιεί ένα μοντέλο κρυπτογράφησης φακέλου:

  • KMS πελάτη: Διαχειρίζεται τα Key Encryption Keys (KEKs). Η OpenAI δεν βλέπει ούτε αποθηκεύει ποτέ τα KEK.

  • Υποδομή OpenAI: Δημιουργεί και διαχειρίζεται Data Encryption Keys (DEKs). Κάθε DEK κρυπτογραφείται (wrapped) με το KEK σας πριν από την αποθήκευση.

  • Ροή δεδομένων:

    • Τα δεδομένα πελάτη κρυπτογραφούνται με ένα DEK.

    • Αυτό το DEK κρυπτογραφείται με το KEK σας, παράγοντας ένα eDEK.

    • Το eDEK αποθηκεύεται μαζί με τα κρυπτογραφημένα δεδομένα.

    • Για να αποκρυπτογραφηθούν τα δεδομένα, η OpenAI ζητά από το KMS σας να αποκρυπτογραφήσει το eDEK, ανακτά το DEK και αποκρυπτογραφεί το περιεχόμενο.

Γιατί η OpenAI επέλεξε αυτό το μοντέλο αντί να αφήσει το KMS να διαχειρίζεται και τα KEK και τα DEK;

Υπάρχουν δύο συνήθεις προσεγγίσεις κρυπτογράφησης φακέλου:

KEK και DEK που διαχειρίζεται το KMS:

Πλεονεκτήματα: Απλούστερη υλοποίηση, δεν χρειάζεται συντήρηση υποδομής κρυπτογράφησης.

Μειονεκτήματα: Κάθε αίτημα κρυπτογράφησης/αποκρυπτογράφησης καταλήγει στο KMS, αυξάνοντας την καθυστέρηση, το κόστος και εισάγοντας ένα ενιαίο σημείο αστοχίας.

KEK που διαχειρίζεται το KMS / DEK που διαχειρίζεται η OpenAI (η προσέγγισή μας):

Πλεονεκτήματα: Σημαντικά χαμηλότερη καθυστέρηση και κόστος, καλύτερη επεκτασιμότητα και αξιοπιστία, και συνέχιση λειτουργίας κατά τη διάρκεια μερικών διακοπών του KMS (έως το TTL της cache DEK).

Μειονεκτήματα: Ελαφρώς πιο σύνθετη υλοποίηση από την πλευρά της OpenAI.

Αυτός ο σχεδιασμός επιτρέπει στην OpenAI να παρέχει ισχυρές εγγυήσεις ασφάλειας, ελαχιστοποιώντας παράλληλα τον λειτουργικό κίνδυνο και το κόστος για τους πελάτες.

Κάθε πότε γίνεται περιστροφή των DEK;

Κάθε DEK περιστρέφεται περίπου κάθε 60 λεπτά. Αυτό παρέχει χρονική απομόνωση — ακόμη κι αν ένα DEK παραβιαζόταν με κάποιον τρόπο, ο αντίκτυπος θα περιοριζόταν σε δεδομένα που κρυπτογραφήθηκαν μέσα σε αυτό το παράθυρο της μίας ώρας.

Όγκος αιτημάτων KMS & παρατηρησιμότητα

Βλέπουμε πολύ λιγότερα αιτήματα KMS από τον αριθμό των μηνυμάτων χρηστών. Πρέπει αυτοί οι αριθμοί να ταιριάζουν;

Όχι, δεν θα συσχετίζονται άμεσα.

Επειδή η OpenAI αποθηκεύει DEK στη μνήμη για λόγους απόδοσης, οι κλήσεις KMS γίνονται μόνο όταν ένα DEK χρειάζεται να αποκρυπτογραφηθεί — όχι σε κάθε λειτουργία κρυπτογράφησης ή αποκρυπτογράφησης. Ως αποτέλεσμα, θα πρέπει να αναμένετε:

  • Λιγότερα αιτήματα KMS από αλληλεπιδράσεις χρηστών.

  • Περιστασιακές αυξήσεις όταν λήγουν τα DEK στην cache (περίπου κάθε ώρα) ή όταν χρειάζεται πρόσβαση σε παλαιότερα κρυπτογραφημένα δεδομένα.

  • Επιπλέον κλήσεις κατά την ανάκτηση ιστορικών δεδομένων, όπως όταν ένας χρήστης συνεχίζει μια συνομιλία μεγάλης διάρκειας και πρέπει να φορτωθούν παλαιότερα DEK.

Ο ακριβής αριθμός αιτημάτων KMS εξαρτάται από την κατάσταση της cache, τη συμπεριφορά των χρηστών, τα μοτίβα πρόσβασης στα δεδομένα και τη διάρκεια της συνομιλίας, και επομένως δεν θα συσχετίζεται άμεσα με τον όγκο των μηνυμάτων.

Σας βοήθησε αυτό το άρθρο;