Salauskäsitteet
Yleiskatsaus prosessiin
Hallinnoit pilvessäsi pääavainta, jota OpenAI ei koskaan näe
Pääavaintasi käytetään OpenAI:n käyttämien data encryption key -avainten (DEK) salaamiseen
OpenAI käyttää DEK-avaimia levossa olevan datasi salaamiseen. DEK salataan pääavaimellasi, jolloin syntyy eDEK (salattu DEK), joka tallennetaan datasi yhteyteen
Datan lukemista varten OpenAI ottaa eDEK:n, pyytää KMS:ääsi purkamaan sen DEK:ksi ja purkaa sitten datasi salauksen
Miten EKM-salaus toimii?
Katso tarkemmat tiedot artikkelistamme: OpenAI Enterprise Key Management (EKM) -yleiskatsaus
Tallentaako OpenAI DEK-avaimeni?
Ei – tallennamme salatut DEK-avaimet (eDEK:t), jotka KMS:si tuottaa. Datan salauksen purkamista varten pyydämme KMS:ääsi purkamaan eDEK:n takaisin DEK:ksi.
Välimuistittaako OpenAI DEK-avaimeni?
Kyllä – vain muistissa. Tämä tehdään suorituskyvyn vuoksi, jotta KMS:ääsi ei tarvitse kutsua jokaisella datan salaus-/salauksenpurkupyynnöllä. DEK-avaimia ei koskaan kirjoiteta tallennustilaan.
Pilven käyttöoikeudet
Mitä käyttöoikeuksia OpenAI:lla on KMS:ääni?
Vain ne käyttöoikeudet, jotka myönnät meille määrittämäsi käytännön kautta. Tarvitsemme vähintään Encrypt/Decrypt-toiminnot. Luo lisäksi pilvi-KMS:ääsi uusi avain OpenAI:ta varten sen sijaan, että käyttäisit uudelleen olemassa olevia tuotantokäyttöön tarkoitettuja avaimia.
Milloin OpenAI saa käyttöoikeudet KMS:ääni?
Kaikkien näiden vaiheiden on täytynyt toteutua: 1. olet tunnistanut OpenAI:n identiteetin (esim. trust policy, workload identity jne. pilvipalveluntarjoajasta riippuen), 2. olet luonut käytännön KMS:n käyttöä varten ja 3. olet myöntänyt OpenAI:n identiteetille oikeuden käyttää tätä käytäntöä. Jos vain luot KMS:n ilman kaikkia näitä vaiheita, OpenAI:lla ei ole pääsyä.
Täytyykö minun säilyttää pääavaimeni pilvessäni?
Ei – päätät itse, miten hallinnoit pääavaintasi. Voit käyttää pilven hallinnoimaa ratkaisua tai ulkoista ratkaisua, jossa avain säilytetään erillään. OpenAI:n tarvitsee vain kutsua KMS:si encrypt/decrypt-toimintoja – se, miten pääavain tosiasiallisesti suorittaa salauksen ja salauksen purun, on toteutusyksityiskohta, johon meillä ei ole näkyvyyttä.
Avaimen elinkaari
DEK/eDEK-kierto (OpenAI:n hallinnoima)
Kuinka usein DEK/eDEK-avaimia kierretään?
24 tunnin välein salauspolulla (DEK/eDEK-avainparin pyytäminen)
1 tunnin välein salauksenpurun avainpolulla (DEK -> eDEK)
Täytyykö minun tehdä jotain, kun DEK muuttuu?
Ei – DEK/eDEK-kierto tehdään OpenAI:n sisällä. Niin kauan kuin pääavaimesi on voimassa, kaikki pääavaimellasi salatut eDEK:t voidaan edelleen purkaa DEK:iksi, joita sitten käytetään datasi salauksen purkamiseen.
Pääavaimen kierto ja peruutus (sinun hallinnassasi)
Kuinka usein avaimen kierto ja avaimen peruutus tapahtuvat?
Tämän määrität sinä, sillä OpenAI:lla ei ole näkyvyyttä pääavaimeesi.
Mitä eroa on avaimen kierrolla ja avaimen peruutuksella?
Avaimen peruutus poistaa pääsyn vanhemmilla avaimilla salattuun dataan. Avaimen kierto salaa datan uudella avaimella, mutta säilyttää lukuoikeuden vanhempaan dataan.
Mitä tapahtuu, jos peruutan pääavaimeni?
Jos avain peruutetaan tai käyttöoikeudet poistetaan, työtila muuttuu lopulta toimintakyvyttömäksi, kun välimuistitetut avaimet vanhenevat. Sen jälkeen OpenAI ei enää voi purkaa tallennetun datan salausta tai salata uutta dataa. Käytännössä data ”silputaan”.
Kuinka nopeasti peruutus tulee voimaan?
OpenAI välimuistittaa DEK-avaimia muistissa suorituskyvyn ja vikasietoisuuden vuoksi. Peruutus tulee yleensä voimaan tunnin kuluessa, kun välimuistitetut avaimet vanhenevat ja uudelleenvalidointi epäonnistuu.
Voiko peruutusta testata turvallisesti?
Peruutuksen testaamista tuotantotyötilassa ei suositella, koska se tekee olemassa olevasta datasta pysyvästi saavuttamatonta. Asiakkaat voivat kuitenkin (ja heidän pitäisi) testata peruutusta sandbox-ympäristössä varmistaakseen oikean toiminnan ja validoidakseen luottamusoletuksensa.
Jos avain peruutetaan pysyvästi, voiko työtilan palauttaa liittämällä uuden avaimen?
Ei. Kun avain on menetetty, dataa ei voi suunnittelun mukaisesti palauttaa. Ainoa korjaustoimi on luoda uusi työtila.
Mitä meidän pitäisi tehdä, jos työtilaan ei pääse avainmuutosten vuoksi?
Odotettu korjaustoimi on luoda uusi työtila. KMS:n päivittäminen ei palauta olemassa olevaa dataa.
Mikä on peruutussuunnitelma, jos päätämme lopettaa CMEK:n käytön?
Tällä hetkellä peruutussuunnitelmaa ei ole. Kun työtila on luotu CMEK:n kanssa, kaikki siihen liittyvä data salataan asiakkaan hallinnoimilla avaimilla eikä siihen pääse käsiksi ilman niitä. Ainoa tapa lopettaa CMEK:n käyttö on luoda uusi työtila — olemassa oleva salattu data jää pysyvästi saavuttamattomaksi.
Mitä tapahtuu, kun kierrän pääavaimeni?
Uutta kryptografista materiaalia luodaan salausta varten, joten uudet salauspyynnöt käyttävät uutta avainta. KMS-tunniste (ARN tai avaimen nimi) pysyy kuitenkin samana, ja vanhan datan salaus on edelleen purettavissa. Monet pilvipalveluntarjoajat tarjoavat automaattisen avainkierron (AWS, GCP, Azure).
Salaako OpenAI vanhan datan uudelleen, kun kierrän pääavaimeni?
Ei. Uutta kryptografista materiaalia käytetään vain uuden datan salaamiseen.
Kuinka kauan kestää, että avaimen kierto tai avaimen peruutus tulee voimaan?
1 tunti. Tämä johtuu siitä, että DEK/eDEK:t välimuistitetaan muistissa ja validoimme nämä merkinnät uudelleen KMS:si kanssa tunneittain.
KMS-tunnisteen vaihtaminen
Onko KMS-tunnisteen vaihtaminen avaimen peruutus vai avaimen kierto?
Avaimen peruutus. Yksi avain ei voi purkaa toisen avaimen salaaman datan salausta.
Voiko OpenAI auttaa minua vaihtamaan KMS-tunnisteeni ChatGPT-työtilaa varten?
Jos vahvistat, että tarkoituksena on peruuttaa avaimesi, voimme auttaa tässä ChatGPT-työtilan osalta. Huomaa, että kun KMS ARN päivitetään, vanhempi data jää saavuttamattomaksi, joten muutoksen jälkeen sinulla on sekä saavuttamatonta että saavutettavaa dataa.
Voiko OpenAI auttaa minua vaihtamaan KMS-tunnisteeni API-projektia varten?
Jos käytät API:a, API:ssa on helppoa arkistoida ja luoda uusia projekteja, joten arkistoi sen sijaan projekti, რომლის data ei ole enää muutenkaan saavutettavissa, rekisteröi uusi EKM-konfiguraatio OpenAI:lle ja luo uusi API-projekti uudella KMS-avaimella.
Mitä jos haluan vaihtaa KMS-tunnisteeni itse säännöllisesti?
Tätä ei suositella, koska et todennäköisesti halua peruuttaa avaintasi säännöllisesti. Voit kuitenkin tehdä näin, jos käytät pilvipalveluntarjoajaa, joka tukee KMS-avainaliasta (AWS-esimerkki). Voit rekisteröidä kyseisen KMS-avainaliaksen OpenAI:lle, ja sitten voit pilvipalveluntarjoajallasi vaihtaa koska tahansa aliaksen osoittaman taustalla olevan KMS-tunnisteen avataksesi avaimen peruutuksen.
Betan ja GA:n toiminta
Onko salauksen betan käytössä tuotannossa tunnettuja riskejä tai järjestelmätason muutoksia?
Beta-ympäristö on toiminnallisesti vastaava kuin GA, eikä migraatiovaiheita odoteta. Ensisijainen riski on, että jotkin reunatapauksia koskevat ominaisuudet eivät ehkä vielä tue salattua sisältöä keskeneräisten koodipolkujen vuoksi. Nämä ovat harvinaisia, ja niitä korjataan aktiivisesti. Data on täysin salattua ja suojattua näistä mahdollisista ongelmista huolimatta.
Tuleeko betasta GA:han siirtymisessä migraatiovaiheita?
Ei. Salausbetaa käyttävät työtilat tuetaan automaattisesti GA:ssa ilman mitään käyttäjän toimia.
Lisätekniset tiedot
Envelope encryption & käyttöoikeudet
Täytyykö meidän myöntää OpenAI:lle GenerateDataKey-käyttöoikeus EKM:ää varten?
Ei. OpenAI tarvitsee KMS-avaimeesi vain Encrypt- ja Decrypt-käyttöoikeudet. GenerateDataKey-käyttöoikeutta ei tarvita EKM-integraatiota varten.
Käyttääkö OpenAI envelope encryption -mallia asiakasdataan?
Kyllä. OpenAI käyttää envelope encryption -mallia:
Asiakkaan KMS: Hallinnoi Key Encryption Key -avaimia (KEK). OpenAI ei koskaan näe tai tallenna KEK-avaimia.
OpenAI:n infrastruktuuri: Luo ja hallinnoi Data Encryption Key -avaimia (DEK). Jokainen DEK salataan (kääritään) KEK-avaimellasi ennen tallennusta.
Datan kulku:
Asiakasdata salataan DEK-avaimella.
Tämä DEK salataan KEK-avaimellasi, jolloin syntyy eDEK.
eDEK tallennetaan salatun datan yhteyteen.
Datan salauksen purkamiseksi OpenAI pyytää KMS:ääsi purkamaan eDEK:n, hakee DEK:n ja purkaa sisällön salauksen.
Miksi OpenAI valitsi tämän mallin sen sijaan, että KMS hallinnoisi sekä KEK- että DEK-avaimia?
Envelope encryption -ratkaisuja on kaksi yleistä lähestymistapaa:
KMS-hallinnoidut KEK- ja DEK-avaimet:
Edut: Yksinkertaisempi toteutus, ei tarvetta ylläpitää salausinfrastruktuuria.
Haitat: Jokainen salaus-/salauksenpurkupyyntö osuu KMS:ään, mikä lisää viivettä ja kustannuksia sekä tuo yhden vikaantumispisteen.
KMS-hallinnoidut KEK:t / OpenAI:n hallinnoimat DEK:t (lähestymistapamme):
Edut: Merkittävästi pienempi viive ja kustannus, parempi skaalautuvuus ja luotettavuus sekä toiminnan jatkuminen osittaisten KMS-katkosten aikana (DEK-välimuistin TTL:ään asti).
Haitat: Hieman monimutkaisempi toteutus OpenAI:n puolella.
Tämä rakenne antaa OpenAI:lle mahdollisuuden tarjota vahvat tietoturvatakuut ja samalla minimoida asiakkaille koituvat operatiiviset riskit ja kustannukset.
Kuinka usein DEK-avaimia kierretään?
Jokainen DEK kierretään noin 60 minuutin välein. Tämä tarjoaa ajallista eristystä — vaikka DEK jollain tavalla vaarantuisi, vaikutus rajoittuisi kyseisen yhden tunnin aikana salattuun dataan.
KMS-pyyntöjen määrä & havainnointi
Näemme paljon vähemmän KMS-pyyntöjä kuin käyttäjäviestejä. Pitäisikö näiden lukujen täsmätä?
Ei, ne eivät korreloi suoraan.
Koska OpenAI välimuistittaa DEK-avaimia muistissa suorituskykysyistä, KMS-kutsuja tehdään vain silloin, kun DEK täytyy purkaa — ei jokaisessa salaus- tai salauksenpurkutoiminnossa. Tämän vuoksi sinun pitäisi odottaa seuraavaa:
Vähemmän KMS-pyyntöjä kuin käyttäjävuorovaikutuksia.
Satunnaisia piikkejä, kun välimuistitetut DEK-avaimet vanhenevat (noin kerran tunnissa) tai kun vanhempaa salattua dataa täytyy käyttää.
Lisäkutsuja, kun haetaan historiallista dataa, esimerkiksi kun käyttäjä jatkaa pitkään kestävää keskustelua ja vanhempia DEK-avaimia täytyy ladata.
KMS-pyyntöjen tarkka määrä riippuu välimuistin tilasta, käyttäjien toiminnasta, datan käyttökuvioista ja keskustelun pituudesta, eikä siksi korreloi suoraan viestimäärän kanssa.