OpenAI

EKM तकनीकी अक्सर पूछे जाने वाले सवाल

EKM के व्यवहार, अनुमतियों और कुंजी जीवनचक्र के बारे में सामान्य तकनीकी प्रश्नों के उत्तर

अपडेट किया गया: 10 hours ago

एन्क्रिप्शन अवधारणाएँ

हाई-लेवल फ्लो

  • आप अपने क्लाउड में एक master key को नियंत्रित करते हैं, जिसे OpenAI कभी नहीं देखता

  • आपकी मास्टर की का उपयोग OpenAI द्वारा उपयोग की जाने वाली डेटा एन्क्रिप्शन कीज़ (DEKs) को एन्क्रिप्ट करने के लिए किया जाता है

  • OpenAI आपके डेटा को स्थिर स्थिति में एन्क्रिप्ट करने के लिए DEKs का उपयोग करता है. एक DEK को आपकी मास्टर की द्वारा एन्क्रिप्ट किया जाता है, जिससे eDEK (encrypted DEK) उत्पन्न होता है, जिसे आपके डेटा के साथ संग्रहित किया जाता है

  • डेटा को पढ़ने के लिए, OpenAI eDEK लेता है, आपके KMS से इसे डिक्रिप्ट करके DEK में बदलने का अनुरोध करता है, और फिर आपके डेटा को डिक्रिप्ट करता है

EKM एन्क्रिप्शन कैसे काम करता है?

विस्तृत जानकारी के लिए कृपया हमारा यह लेख देखें: OpenAI Enterprise Key Management (EKM) अवलोकन

क्या OpenAI मेरे DEKs को संग्रहित करता है?

नहीं - हम एन्क्रिप्ट किए गए DEKs (eDEKs) स्टोर करते हैं, जो आपके KMS द्वारा जनरेट किए जाते हैं. डेटा को डिक्रिप्ट करने के लिए, हम आपके KMS से eDEK को वापस DEK में डिक्रिप्ट करने के लिए कहते हैं.

क्या OpenAI मेरे DEKs को कैश करता है?

हाँ - केवल मेमोरी में. यह परफ़ॉर्मेंस के लिए है ताकि हर डेटा एन्क्रिप्ट/डिक्रिप्ट रिक्वेस्ट पर आपके KMS को हिट करने से बचा जा सके. DEKs कभी भी स्टोरेज में नहीं लिखे जाते.

मेघ अनुमतियां

मेरे KMS पर OpenAI के पास कौन-सी अनुमतियां होंगी?

केवल वे अनुमतियाँ जो आप हमें अपनी सेट की गई नीति के माध्यम से प्रदान करते हैं. हमें केवल एन्क्रिप्ट/डिक्रिप्ट ऑपरेशन की आवश्यकता है. कृपया OpenAI के लिए अपने cloud KMS में एक नई कुंजी बनाएं, प्रोडक्शन उद्देश्यों के लिए उपयोग हो रही किसी भी मौजूदा कुंजी का पुनः उपयोग करने के बजाय.

OpenAI को मेरे KMS को एक्सेस करने की अनुमति कब मिलती है?

इन सभी चरणों को पूरा किया जा चुका होना चाहिए: 1. आपने OpenAI की पहचान को मान्यता दी हो (trust policy, workload identity आदि के माध्यम से, जो क्लाउड प्रदाता पर निर्भर करता है), 2. आपने KMS तक पहुँच के लिए एक नीति बनाई हो, और 3. आपने OpenAI की पहचान को उस नीति के एक्सेस की अनुमति दी हो. यदि आप ये सभी चरण पूरे किए बिना केवल KMS बनाते हैं, तो OpenAI को एक्सेस नहीं मिलता.

क्या मुझे अपनी मास्टर की अपने क्लाउड में स्टोर करनी होगी?

नहीं - मास्टर की को कैसे प्रबंधित करना है, यह पूरी तरह आप पर निर्भर है. आप क्लाउड-प्रबंधित समाधान या बाहरी समाधान चुन सकते हैं, जहाँ आपकी कुंजी अलग से संग्रहीत होती है. OpenAI को केवल आपके KMS पर एन्क्रिप्ट/डिक्रिप्ट ऑपरेशन्स कॉल करने की आवश्यकता होती है - मास्टर की वास्तव में एन्क्रिप्ट/डिक्रिप्ट कैसे करती है, यह हमारे लिए अस्पष्ट इम्प्लीमेंटेशन विवरण है.

की जीवनचक्र

DEK/eDEK रोटेशन (OpenAI द्वारा नियंत्रित)

DEKs/eDEKs कितनी बार रोटेट किए जाते हैं?

हर 24 घंटे पर एन्क्रिप्शन पाथ पर (DEK/eDEK की कुंजी जोड़ी का अनुरोध करते समय)

डिक्रिप्शन कुंजी पथ (DEK -> eDEK) के लिए हर एक घंटे में

जब DEK बदलता है, तो क्या मुझे कुछ करना होगा?

नहीं - DEK/eDEK रोटेशन OpenAI के अंदर किया जाता है. जब तक आपकी master key वैध रहती है, आपकी master key से एन्क्रिप्ट किए गए किसी भी eDEKs को DEK में डिक्रिप्ट किया जा सकता है, जिसका उपयोग फिर आपके डेटा को डिक्रिप्ट करने के लिए किया जाता है.

मास्टर की रोटेशन और निरस्तीकरण (आपके द्वारा नियंत्रित)

की रोटेशन और की रिवोकेशन कितनी बार होते हैं?

यह आप तय करते हैं क्योंकि OpenAI आपकी मास्टर कुंजी को देख नहीं सकता.

की रोटेशन और की निरस्तीकरण में क्या अंतर है?

कुंजी निरस्तीकरण पुरानी कुंजियों का उपयोग करके एन्क्रिप्ट किए गए डेटा तक पहुंच को हटा देता है. कुंजी रोटेशन डेटा को नई कुंजी का उपयोग करके एन्क्रिप्ट करता है, लेकिन पुराने डेटा तक पढ़ने का एक्सेस बनाए रखता है.

अगर मैं अपनी मास्टर कुंजी रद्द कर दूँ तो क्या होगा?

यदि किसी कुंजी को रद्द कर दिया जाता है या अनुमतियाँ हटा दी जाती हैं, तो कैश की गई कुंजियों के समाप्त हो जाने पर वर्कस्पेस अंततः काम करना बंद कर देगा. उस समय, OpenAI अब संग्रहित डेटा को डिक्रिप्ट नहीं कर सकता और न ही नए डेटा को एन्क्रिप्ट कर सकता है. असल में, डेटा “टुकड़ों में बंटा हुआ” है.

निरस्तीकरण कितनी जल्दी प्रभावी होता है?

OpenAI प्रदर्शन और लचीलापन के लिए DEKs को इन-मेमोरी कैश करता है. निरस्तीकरण आमतौर पर एक घंटे के भीतर प्रभावी हो जाता है, जब कैश की गई कुंजियों की अवधि समाप्त हो जाती है और पुनः-सत्यापन विफल हो जाता है.

क्या निरस्तीकरण का सुरक्षित रूप से परीक्षण किया जा सकता है?

प्रोडक्शन वर्कस्पेस में निरस्तीकरण का परीक्षण करना अनुशंसित नहीं है क्योंकि इससे मौजूदा डेटा स्थायी रूप से अप्राप्य हो जाएगा. हालाँकि, ग्राहक सही व्यवहार को सत्यापित करने और अपनी ट्रस्ट संबंधी धारणाओं को वैलिडेट करने के लिए सैंडबॉक्स एनवायरनमेंट में निरस्तीकरण का परीक्षण कर सकते हैं (और उन्हें करना भी चाहिए).

अगर किसी कुंजी को स्थायी रूप से निरस्त कर दिया जाता है, तो क्या नई कुंजी जोड़कर वर्कस्पेस को पुनर्प्राप्त किया जा सकता है?

नहीं. एक बार कुंजी खो जाने पर, डेटा को डिज़ाइन के अनुसार पुनर्प्राप्त नहीं किया जा सकता. एकमात्र समाधान नया वर्कस्पेस बनाना है.

अगर कुंजी में बदलाव के कारण कोई वर्कस्पेस एक्सेस नहीं किया जा सके, तो हमें क्या करना चाहिए?

अपेक्षित समाधान एक नया वर्कस्पेस बनाना है. KMS को अपडेट करने से मौजूदा डेटा रिकवर नहीं होगा.

अगर हम CMEK का इस्तेमाल बंद करने का निर्णय लें, तो वापसी की योजना क्या है?

फिलहाल, कोई बैकआउट प्लान नहीं है. एक बार वर्कस्पेस CMEK के साथ बन जाने पर, उससे संबंधित सभी डेटा कस्टमर-मैनेज्ड कीज़ का उपयोग करके एन्क्रिप्ट किया जाता है और उनके बिना उस तक एक्सेस नहीं किया जा सकता. CMEK का इस्तेमाल बंद करने का एकमात्र तरीका नया वर्कस्पेस बनाना है — मौजूदा एन्क्रिप्टेड डेटा हमेशा के लिए एक्सेस नहीं किया जा सकेगा.

जब मैं अपनी मास्टर की बदलता हूं तो क्या होता है?

एन्क्रिप्शन के लिए नई क्रिप्टोग्राफ़िक सामग्री जनरेट की जाएगी, इसलिए नई एन्क्रिप्शन रिक्वेस्ट नई कुंजी का उपयोग करेंगी. हालाँकि, KMS पहचानकर्ता (ARN या key name) वही रहता है और पुराने डेटा को अभी भी डिक्रिप्ट किया जा सकता है. कई क्लाउड प्रोवाइडर्स ऑटोमैटिक की रोटेशन ऑफर करते हैं (AWS, GCP, Azure).

क्या जब मैं अपनी मास्टर की बदलता/बदलती हूँ, तो OpenAI पुराने डेटा को फिर से एन्क्रिप्ट करता है?

नहीं. नई क्रिप्टोग्राफ़िक सामग्री का उपयोग केवल नए डेटा को एन्क्रिप्ट करने के लिए किया जाएगा.

कुंजी रोटेशन या कुंजी निरस्तीकरण प्रभावी होने में कितना समय लेता है?

1 घंटे. ऐसा इसलिए है, क्योंकि DEK/eDEKs इन-मेमोरी कैश में होते हैं और हम इन एंट्रीज़ को आपके KMS के साथ हर घंटे फिर से वैलिडेट करते हैं.

KMS आइडेंटिफ़ायर को स्विच करना

क्या KMS आइडेंटिफ़ायर को बदलना कुंजी निरस्तीकरण है या कुंजी रोटेशन?

कुंजी निरस्तीकरण. एक कुंजी द्वारा एन्क्रिप्ट किए गए डेटा को दूसरी कुंजी डिक्रिप्ट नहीं कर सकती.

क्या OpenAI मेरे ChatGPT वर्कस्पेस के लिए मेरा KMS आइडेंटिफ़ायर बदलने में मदद कर सकता है?

अगर आप पुष्टि करते हैं कि आप अपनी कुंजी रद्द करना चाहते हैं, तो हम ChatGPT वर्कस्पेस के लिए इसमें आपकी मदद कर सकते हैं. ध्यान दें कि जब KMS ARN को अपडेट किया जाता है, तो पुराने डेटा को एक्सेस नहीं किया जा सकेगा, इसलिए बदलाव के बाद आपके पास एक्सेस न किए जा सकने वाले और एक्सेस किए जा सकने वाले डेटा का मिश्रण रह जाएगा.

क्या OpenAI किसी API प्रोजेक्ट के लिए मेरा KMS आइडेंटिफ़ायर बदलने में मेरी मदद कर सकता है?

अगर आप API का उपयोग कर रहे हैं, तो API प्रोजेक्ट्स को आर्काइव करना और नए प्रोजेक्ट बनाना आसान बनाता है. इसलिए कृपया उस प्रोजेक्ट को आर्काइव करें जिसका डेटा वैसे भी एक्सेस नहीं किया जा सकता. OpenAI के साथ एक नया EKM config रजिस्टर करें और नई KMS key के साथ एक नया API प्रोजेक्ट बनाएं.

अगर मैं अपना KMS आइडेंटिफ़ायर खुद नियमित रूप से बदलना चाहूँ तो क्या होगा?

यह अनुशंसित नहीं है, क्योंकि आप शायद अपनी कुंजी को नियमित रूप से निरस्त नहीं करना चाहेंगे. हालांकि, यदि आप KMS कुंजी उपनाम को सपोर्ट करने वाले किसी क्लाउड प्रोवाइडर का उपयोग करते हैं, तो आप इसे अब भी कर सकते हैं (AWS उदाहरण). आप उस KMS key alias को OpenAI के साथ रजिस्टर कर सकते हैं, और फिर अपने cloud provider पर आप alias द्वारा इंगित किए गए अंतर्निहित KMS identifier को किसी भी समय बदलकर कुंजी निरस्तीकरण कर सकते हैं.

Beta बनाम GA व्यवहार

क्या प्रोडक्शन में एन्क्रिप्शन बीटा का उपयोग करते समय कोई ज्ञात जोखिम या सिस्टम-स्तर के परिवर्तन हैं?

Beta environment, GA के कार्यात्मक रूप से समकक्ष है और किसी माइग्रेशन चरण की अपेक्षा नहीं है. मुख्य जोखिम यह है कि अपूर्ण कोड पाथ्स के कारण कुछ अपवादात्मक सुविधाएँ अभी तक एन्क्रिप्टेड सामग्री का समर्थन नहीं करती हैं. ये दुर्लभ हैं और इन्हें सक्रिय रूप से हल किया जा रहा है. डेटा इन संभावित समस्याओं के बावजूद पूरी तरह एन्क्रिप्टेड और सुरक्षित है.

क्या बीटा से GA में माइग्रेशन के कोई चरण होंगे?

नहीं. एन्क्रिप्शन बीटा का उपयोग करने वाले वर्कस्पेस, यूज़र द्वारा किसी कार्रवाई के बिना, GA में स्वचालित रूप से समर्थित होंगे.

अतिरिक्त तकनीकी विवरण

एनवेलप एन्क्रिप्शन और अनुमतियाँ

क्या हमें EKM के लिए OpenAI को GenerateDataKey अनुमतियाँ देनी होंगी?

नहीं. OpenAI को केवल आपकी KMS key पर Encrypt और Decrypt अनुमतियों की आवश्यकता होती है। EKM इंटीग्रेशन के लिए GenerateDataKey अनुमति आवश्यक नहीं है।

क्या OpenAI कस्टमर डेटा के लिए एनवेलप एन्क्रिप्शन का उपयोग करता है?

हाँ. OpenAI एक envelope encryption मॉडल का उपयोग करता है:

  • कस्टमर KMS: की एन्क्रिप्शन कीज़ (KEKs) को मैनेज करता है. OpenAI कभी भी KEKs को नहीं देखता या स्टोर करता है.

  • OpenAI इन्फ्रास्ट्रक्चर: डेटा एन्क्रिप्शन कीज़ (DEKs) को जनरेट और मैनेज करता है। प्रत्येक DEK को संग्रहित करने से पहले आपके KEK के साथ एन्क्रिप्ट (रैप) किया जाता है.

  • डेटा फ्लो:

    • कस्टमर डेटा को DEK के साथ एन्क्रिप्ट किया जाता है।

    • उस DEK को आपके KEK के साथ एन्क्रिप्ट किया जाता है, जिससे एक eDEK बनता है.

    • eDEK को एन्क्रिप्टेड डेटा के साथ संग्रहित किया जाता है.

    • डेटा को डिक्रिप्ट करने के लिए, OpenAI आपके KMS से eDEK को डिक्रिप्ट करने का अनुरोध करता है, DEK को प्राप्त करता है, और कंटेंट को डिक्रिप्ट करता है.

OpenAI ने KMS को KEKs और DEKs दोनों को मैनेज करने देने के बजाय इस मॉडल को क्यों चुना?

दो सामान्य एनवेलप एन्क्रिप्शन अप्रोचेज़ हैं:

KMS द्वारा प्रबंधित KEKs और DEKs:

फ़ायदे: ज़्यादा सरल इम्प्लीमेंटेशन, एन्क्रिप्शन इंफ्रास्ट्रक्चर को मेंटेन करने की ज़रूरत नहीं.

नुकसान: हर एन्क्रिप्शन/डिक्रिप्शन अनुरोध KMS तक पहुँचता है, जिससे लेटेंसी और लागत बढ़ती है और सिंगल पॉइंट ऑफ फेल्यर का जोखिम बढ़ता है.

KMS-प्रबंधित KEKs / OpenAI-प्रबंधित DEKs (हमारा दृष्टिकोण):

फ़ायदे: काफी कम विलंबता और लागत, बेहतर स्केलेबिलिटी और विश्वसनीयता, और आंशिक KMS आउटेज के दौरान भी लगातार संचालन (DEK कैश TTL तक).

कमियाँ: OpenAI की ओर से थोड़ा अधिक जटिल कार्यान्वयन.

यह डिज़ाइन OpenAI को मज़बूत सुरक्षा आश्वासन प्रदान करने में सक्षम बनाता है, साथ ही ग्राहकों के लिए परिचालन जोखिम और लागत को न्यूनतम करता है.

DEKs कितनी बार घुमाए जाते हैं?

प्रत्येक DEK को लगभग हर 60 मिनट में रोटेट किया जाता है. यह समयगत आइसोलेशन प्रदान करता है — भले ही किसी तरह DEK से समझौता हो जाए, प्रभाव केवल उस एक घंटे की विंडो के भीतर एन्क्रिप्ट किए गए डेटा तक सीमित रहेगा.

KMS अनुरोध वॉल्यूम और ऑब्ज़र्वेबिलिटी

हम यूज़र मेसेजों की संख्या की तुलना में KMS requests बहुत कम देखते हैं. क्या इन संख्याओं को मेल खाना चाहिए?

नहीं, वे सीधे तौर पर संबंधित नहीं होंगे.

चूंकि OpenAI प्रदर्शन कारणों से DEKs को मेमोरी में कैश करता है, इसलिए KMS कॉल केवल तब किए जाते हैं जब किसी DEK को डिक्रिप्ट करने की आवश्यकता होती है, न कि हर एन्क्रिप्शन या डिक्रिप्शन ऑपरेशन पर. परिणामस्वरूप, आपको यह अपेक्षा करनी चाहिए:

  • यूज़र इंटरैक्शन की तुलना में कम KMS अनुरोध.

  • कभी-कभार स्पाइक्स तब आते हैं जब कैश किए गए DEKs एक्सपायर होते हैं (लगभग हर घंटे) या जब पुराने एन्क्रिप्टेड डेटा को एक्सेस करना आवश्यक होता है.

  • अतिरिक्त कॉल्स हिस्टॉरिकल डेटा रिट्रीव करते समय, जैसे कि जब कोई यूज़र लंबी चलने वाली बातचीत जारी रखता है और पुराने DEKs को लोड किए जाने हों.

KMS अनुरोधों की सटीक संख्या कैशिंग की स्थिति, यूज़र व्यवहार, डेटा एक्सेस पैटर्न और बातचीत की लंबाई पर निर्भर करती है; इसलिए यह मैसेज वॉल्यूम से सीधे तौर पर सहसंबंधित नहीं होगी.

क्या यह लेख मददगार था?