OpenAI

Pertanyaan Umum Teknis EKM

Jawaban atas pertanyaan teknis umum tentang perilaku EKM, izin, dan siklus hidup kunci

Diperbarui: 13 days ago

Konsep Enkripsi

Alur tingkat tinggi

  • Anda mengendalikan kunci utama di cloud Anda yang tidak pernah dilihat oleh OpenAI

  • Kunci utama Anda digunakan untuk mengenkripsi data encryption keys (DEK) yang digunakan oleh OpenAI

  • OpenAI menggunakan DEK untuk mengenkripsi data Anda saat disimpan. DEK dienkripsi oleh kunci utama Anda, menghasilkan eDEK (DEK terenkripsi), yang disimpan bersama data Anda

  • Untuk membaca data, OpenAI mengambil eDEK, meminta KMS Anda untuk mendekripsinya menjadi DEK, lalu mendekripsi data Anda

Bagaimana cara kerja enkripsi EKM?

Silakan rujuk artikel kami untuk informasi selengkapnya: Ikhtisar Manajemen Kunci Enterprise (EKM) OpenAI

Apakah OpenAI menyimpan DEK milik saya?

Tidak - kami menyimpan DEK terenkripsi (eDEK), yang dibuat oleh KMS Anda. Untuk mendekripsi data, kami meminta KMS Anda untuk mendekripsi eDEK kembali menjadi DEK.

Apakah OpenAI menyimpan DEK saya dalam cache?

Ya - hanya dalam memori. Hal ini dilakukan untuk kinerja agar tidak perlu mengakses KMS Anda pada setiap permintaan enkripsi/dekripsi data. DEK tidak pernah ditulis ke penyimpanan.

Izin Cloud

Izin apa saja yang akan dimiliki OpenAI pada KMS saya?

Hanya izin yang Anda berikan kepada kami melalui kebijakan yang Anda tetapkan. Kami hanya memerlukan setidaknya operasi Enkripsi/Dekripsi. Selain itu, mohon buat kunci baru di KMS cloud Anda untuk OpenAI, dan jangan gunakan kembali kunci yang sudah ada untuk keperluan produksi.

Kapan OpenAI mendapatkan izin untuk mengakses KMS saya?

Semua langkah berikut harus sudah dilakukan: 1. Anda telah mengenali identitas OpenAI (melalui trust policy, identitas beban kerja, dan sebagainya, tergantung pada penyedia cloud), 2. Anda telah membuat kebijakan untuk mengakses KMS, dan 3. Anda telah memberikan izin kepada identitas OpenAI untuk mengakses kebijakan tersebut. Jika Anda hanya membuat KMS tanpa mengikuti semua langkah ini, OpenAI tidak akan memiliki akses.

Apakah saya harus menyimpan kunci utama saya di cloud?

Tidak - Anda bebas menentukan cara mengelola kunci utama Anda. Anda dapat menggunakan solusi yang dikelola cloud atau solusi eksternal di mana kunci Anda disimpan secara terpisah. OpenAI hanya perlu memanggil operasi enkripsi/dekripsi pada KMS Anda - bagaimana kunci utama sebenarnya melakukan enkripsi/dekripsi adalah detail implementasi yang tidak terlihat oleh kami.

Siklus Hidup Kunci

Rotasi DEK/eDEK (Dikendalikan oleh OpenAI)

Seberapa sering DEK/eDEK dirotasi?

Setiap 24 jam pada jalur enkripsi (meminta pasangan kunci DEK/eDEK)

Setiap 1 jam untuk jalur kunci dekripsi (DEK -> eDEK)

Apakah saya perlu melakukan sesuatu saat DEK berubah?

Tidak - rotasi DEK/eDEK dilakukan di dalam OpenAI. Selama kunci utama Anda tetap valid, setiap eDEK yang dienkripsi oleh kunci utama Anda dapat terus didekripsi menjadi DEK, yang kemudian digunakan untuk mendekripsi data Anda.

Rotasi dan Pencabutan Kunci Utama (Dikendalikan oleh Anda)

Seberapa sering rotasi kunci dan pencabutan kunci dilakukan?

Hal ini ditentukan oleh Anda karena OpenAI tidak memiliki visibilitas terhadap kunci utama Anda.

Apa perbedaan antara rotasi kunci dan pencabutan kunci?

Pencabutan kunci menghapus akses ke data yang dienkripsi menggunakan kunci lama. Rotasi kunci mengenkripsi data menggunakan kunci baru, tetapi tetap mempertahankan akses baca ke data lama.

Apa yang terjadi jika saya mencabut kunci utama saya?

Jika kunci dicabut atau izin dihapus, workspace pada akhirnya akan berhenti berfungsi setelah kunci yang di-cache kedaluwarsa. Pada saat itu, OpenAI tidak dapat lagi mendekripsi data yang disimpan atau mengenkripsi data baru. Secara efektif, data tersebut “dihancurkan.”

Seberapa cepat pencabutan mulai berlaku?

OpenAI menyimpan cache DEK dalam memori untuk kinerja dan ketahanan. Pencabutan biasanya berlaku efektif dalam waktu satu jam, setelah kunci yang di-cache kedaluwarsa dan validasi ulang gagal.

Dapatkah pencabutan diuji dengan aman?

Menguji pencabutan di workspace produksi tidak direkomendasikan karena akan menyebabkan data yang ada saat ini tidak dapat diakses secara permanen. Namun, pelanggan dapat (dan sebaiknya) menguji pencabutan di lingkungan sandbox untuk memverifikasi perilaku yang benar dan memvalidasi asumsi kepercayaan mereka.

Jika sebuah kunci dicabut secara permanen, apakah workspace dapat dipulihkan dengan menghubungkan kunci baru?

Tidak. Setelah kunci hilang, data dirancang untuk tidak dapat dipulihkan. Satu-satunya solusi adalah membuat workspace baru.

Apa yang harus kita lakukan jika sebuah workspace tidak dapat diakses karena perubahan kunci?

Perbaikan yang diharapkan adalah membuat workspace baru. Memperbarui KMS tidak akan memulihkan data yang ada.

Apa rencana rollback jika kita memutuskan untuk berhenti menggunakan CMEK?

Saat ini, tidak ada rencana rollback. Setelah workspace dibuat dengan CMEK, semua data terkait dienkripsi menggunakan kunci yang dikelola pelanggan dan tidak dapat diakses tanpa kunci tersebut. Satu-satunya cara untuk menghentikan penggunaan CMEK adalah dengan membuat workspace baru — data terenkripsi yang sudah ada akan tetap tidak dapat diakses secara permanen.

Apa yang terjadi ketika saya mengganti kunci utama saya?

Materi kriptografis baru akan dibuat untuk enkripsi sehingga permintaan enkripsi baru akan menggunakan kunci baru. Namun, pengidentifikasi KMS (ARN atau nama kunci) tetap sama dan data lama masih dapat didekripsi. Banyak penyedia cloud menawarkan rotasi kunci otomatis (AWS, GCP, Azure).

Apakah OpenAI mengenkripsi ulang data lama ketika saya mengganti kunci utama saya?

Tidak. Materi kriptografis baru hanya akan digunakan untuk mengenkripsi data baru.

Berapa lama waktu yang dibutuhkan agar rotasi kunci atau pencabutan kunci mulai berlaku?

1 jam. Hal ini karena DEK/eDEK di-cache di memori dan kami memvalidasi ulang entri ini dengan KMS Anda setiap jam.

Melakukan penggantian Pengidentifikasi KMS

Apakah penggantian pengidentifikasi KMS merupakan pencabutan kunci atau rotasi kunci?

Pencabutan kunci. Satu kunci tidak dapat mendekripsi data yang dienkripsi oleh kunci lain.

Dapatkah OpenAI membantu saya mengganti pengidentifikasi KMS untuk workspace ChatGPT?

Jika Anda mengonfirmasi bahwa tujuannya adalah untuk mencabut kunci Anda, kami dapat membantu Anda melakukannya untuk workspace ChatGPT. Perlu diketahui bahwa saat KMS ARN diperbarui, data lama akan tetap tidak dapat diakses, sehingga setelah perubahan, Anda akan memiliki campuran data yang dapat diakses dan yang tidak dapat diakses.

Dapatkah OpenAI membantu saya mengganti pengidentifikasi KMS untuk proyek API?

Jika Anda menggunakan API, API memudahkan Anda untuk mengarsipkan dan membuat proyek baru, jadi silakan arsipkan proyek yang datanya tidak dapat diakses, daftarkan konfigurasi EKM baru dengan OpenAI, dan buat proyek API baru dengan kunci KMS yang baru.

Bagaimana jika saya ingin secara rutin mengganti pengidentifikasi KMS saya sendiri?

Ini tidak disarankan karena Anda mungkin tidak ingin mencabut kunci Anda secara berkala. Namun, Anda masih dapat melakukannya jika menggunakan penyedia cloud yang mendukung alias kunci KMS (contoh AWS). Anda dapat mendaftarkan alias kunci KMS tersebut ke OpenAI, lalu di penyedia cloud Anda, Anda dapat menukar pengidentifikasi KMS dasar yang dirujuk oleh alias tersebut kapan saja untuk melakukan pencabutan kunci.

Perilaku Beta vs. GA

Apakah ada risiko yang diketahui atau perubahan di tingkat sistem saat menggunakan fitur enkripsi beta di lingkungan produksi?

Lingkungan beta secara fungsional setara dengan GA, dan tidak diperlukan langkah migrasi. Risiko utamanya adalah beberapa fitur pada kasus ekstrem mungkin belum mendukung konten terenkripsi karena jalur kode yang belum lengkap. Hal ini jarang terjadi dan sedang ditangani secara aktif. Data sepenuhnya dienkripsi dan dilindungi terlepas dari potensi masalah ini.

Apakah akan tersedia langkah-langkah migrasi dari beta ke GA?

Tidak. Workspace yang menggunakan fitur enkripsi beta akan secara otomatis didukung di GA tanpa tindakan apa pun dari pengguna.

Detail Teknis Tambahan

Enkripsi Envelope & Izin

Apakah kita perlu memberikan izin GenerateDataKey kepada OpenAI untuk EKM?

Tidak. OpenAI hanya memerlukan izin Enkripsi dan Dekripsi pada kunci KMS Anda. Izin GenerateDataKey tidak diperlukan untuk integrasi EKM.

Apakah OpenAI menggunakan enkripsi envelope untuk data pelanggan?

Ya. OpenAI menggunakan model enkripsi envelope:

  • Customer KMS: Mengelola Key Encryption Keys (KEK). OpenAI tidak pernah melihat atau menyimpan KEK.

  • Infrastruktur OpenAI: Membuat dan mengelola Data Encryption Keys (DEK). Setiap DEK dienkripsi (dibungkus) dengan KEK Anda sebelum disimpan.

  • Alur Data:

    • Data pelanggan dienkripsi dengan DEK.

    • DEK tersebut dienkripsi dengan KEK Anda, sehingga menghasilkan eDEK.

    • eDEK disimpan bersama data terenkripsi.

    • Untuk mendekripsi data, OpenAI meminta KMS Anda untuk mendekripsi eDEK, mengambil DEK, dan mendekripsi konten.

Mengapa OpenAI memilih model ini daripada membiarkan KMS mengelola KEK dan DEK?

Ada dua pendekatan umum untuk enkripsi envelope:

KEK dan DEK yang dikelola KMS:

Kelebihan: Implementasi yang lebih sederhana, tidak perlu memelihara infrastruktur enkripsi.

Kekurangan: Setiap permintaan enkripsi/dekripsi mengakses KMS, sehingga meningkatkan latensi dan biaya, serta menimbulkan single point of failure.

KEK yang Dikelola KMS / DEK yang Dikelola OpenAI (Pendekatan Kami):

Kelebihan: Latensi dan biaya yang jauh lebih rendah, skalabilitas dan keandalan yang lebih baik, serta pengoperasian yang berkelanjutan selama gangguan parsial pada KMS (hingga TTL cache DEK).

Kekurangan: Implementasi yang sedikit lebih kompleks di sisi OpenAI.

Desain ini memungkinkan OpenAI untuk memberikan jaminan keamanan yang kuat sekaligus meminimalkan risiko operasional dan biaya bagi pelanggan.

Seberapa sering DEK diperbarui?

Setiap DEK dirotasi kira-kira setiap 60 menit. Hal ini memberikan isolasi temporal — bahkan jika DEK entah bagaimana terkompromi, dampaknya akan terbatas pada data yang dienkripsi dalam jangka waktu satu jam tersebut.

Volume Permintaan KMS dan Observabilitas

Kami melihat permintaan KMS yang jauh lebih sedikit dibandingkan dengan jumlah pesan pengguna. Apakah angka-angka ini harus cocok?

Tidak, keduanya tidak akan berkorelasi secara langsung.

Karena OpenAI menyimpan DEK dalam cache di memori demi kinerja, panggilan KMS hanya dilakukan saat DEK perlu didekripsi — bukan pada setiap operasi enkripsi atau dekripsi. Sebagai hasilnya, Anda dapat mengharapkan:

  • Lebih sedikit permintaan KMS daripada interaksi pengguna.

  • Lonjakan sesekali ketika DEK yang di-cache kedaluwarsa (sekitar setiap jam) atau ketika data terenkripsi yang lebih lama perlu diakses.

  • Panggilan tambahan saat mengambil data historis, seperti ketika pengguna melanjutkan percakapan jangka panjang dan DEK yang lebih lama harus dimuat.

Jumlah pasti permintaan KMS bergantung pada status cache, perilaku pengguna, pola akses data, dan panjang percakapan, dan oleh karena itu tidak akan berkorelasi langsung dengan volume pesan.

Apakah artikel ini membantu?