Konsep Enkripsi
Alur tingkat dhuwur
Sampeyan ngontrol kunci master ing cloud sampeyan sing ora tau dideleng OpenAI
Kunci master sampeyan digunakake kanggo ngenkripsi kunci enkripsi data (DEK) sing digunakake OpenAI
OpenAI nggunakake DEK kanggo ngenkripsi data sampeyan nalika disimpen. DEK dienkripsi nganggo kunci master sampeyan, ngasilake eDEK (DEK terenkripsi), sing disimpen bareng karo data sampeyan
Kanggo maca data, OpenAI njupuk eDEK, njaluk KMS sampeyan kanggo medekripsi dadi DEK, banjur medekripsi data sampeyan
Kepiye cara kerja enkripsi EKM?
Mangga waca artikel kita kanggo informasi rinci: Ringkesan OpenAI Enterprise Key Management (EKM)
Apa OpenAI nyimpen DEK-ku?
Ora - aku nyimpen DEK terenkripsi (eDEK), sing digawe dening KMS sampeyan. Kanggo medekripsi data, aku njaluk KMS sampeyan medekripsi eDEK bali dadi DEK.
Apa OpenAI nyimpen cache DEK-ku?
Ya - mung ing memori. Iki kanggo kinerja supaya ora nyentuh KMS sampeyan ing saben panjaluk enkripsi/dekripsi data. DEK ora tau ditulis menyang panyimpenan.
Idin Cloud
Idin apa sing bakal diduweni OpenAI ing KMS-ku?
Mung idin sing sampeyan paringake marang aku liwat kabijakan sing sampeyan setel. Aku mung butuh paling ora operasi Encrypt/Decrypt. Mangga uga gawe kunci anyar ing KMS cloud sampeyan kanggo OpenAI, aja nganggo maneh kunci sing wis ana sing digunakake kanggo produksi.
Kapan OpenAI entuk idin kanggo ngakses KMS-ku?
Kabeh langkah iki kudu wis ditindakake:
Sampeyan wis ngenali identitas OpenAI (liwat kabijakan kapercayan, identitas workload, lsp. gumantung panyedhiya cloud).
Sampeyan wis nggawe kabijakan kanggo ngakses KMS.
Sampeyan wis menehi identitas OpenAI idin kanggo ngakses kabijakan kasebut.
Yen sampeyan mung nggawe KMS tanpa nindakake kabeh langkah iki, OpenAI ora duwe akses.
Apa aku kudu nyimpen kunci master ing cloud-ku?
Ora - cara ngelola kunci master iku gumantung sampeyan. Sampeyan bisa duwe solusi sing dikelola cloud utawa solusi eksternal sing nyimpen kunci sampeyan kanthi kapisah. OpenAI mung perlu nelpon operasi encrypt/decrypt ing KMS sampeyan - kepiye kunci master sejatine nindakake encrypt/decrypt iku rincian implementasi sing ora katon kanggo aku.
Siklus Urip Kunci
Rotasi DEK/eDEK (Dikontrol dening OpenAI)
Sepira kerepe DEK/eDEK dirotasi?
Saben 24 jam ing jalur enkripsi (njaluk pasangan kunci DEK/eDEK)
Saben 1 jam kanggo jalur kunci dekripsi (DEK -> eDEK)
Apa aku kudu nindakake apa-apa nalika DEK owah?
Ora - rotasi DEK/eDEK ditindakake ing njero OpenAI. Anggere kunci master sampeyan tetep valid, eDEK apa wae sing dienkripsi nganggo kunci master sampeyan bisa terus didekripsi dadi DEK, sing banjur digunakake kanggo medekripsi data sampeyan.
Rotasi lan Pencabutan Kunci Master (Dikontrol dening sampeyan)
Sepira kerepe rotasi kunci lan pencabutan kunci kedadeyan?
Iki ditemtokake dening sampeyan amarga OpenAI ora duwe visibilitas marang kunci master sampeyan.
Apa bedane rotasi kunci lan pencabutan kunci?
Pencabutan kunci mbusak akses menyang data sing dienkripsi nganggo kunci lawas. Rotasi kunci ngenkripsi data nganggo kunci anyar, nanging tetep njaga akses maca menyang data lawas.
Apa sing kedadeyan yen aku nyabut kunci master-ku?
Yen kunci dicabut utawa idin dicopot, papan kerja pungkasane bakal ora bisa digunakake sawisé kunci sing dicache kadaluwarsa. Ing wektu iku, OpenAI ora bisa maneh medekripsi data sing disimpen utawa ngenkripsi data anyar. Kanthi praktis, data kasebut “dicacah nganti ora bisa dipulihake.”
Sepira cepete pencabutan mulai berlaku?
OpenAI nyimpen cache DEK ing memori kanggo kinerja lan ketahanan. Pencabutan biasane mulai berlaku sajrone siji jam, sawisé kunci cache kadaluwarsa lan validasi ulang gagal.
Apa pencabutan bisa dites kanthi aman?
Nguji pencabutan ing papan kerja produksi ora dianjurake amarga bakal nggawe data sing ana dadi ora bisa diakses kanthi permanen. Nanging, pelanggan bisa (lan kudune) nguji pencabutan ing lingkungan sandbox kanggo mesthekake perilaku sing bener lan ngesahake asumsi kapercayane.
Yen kunci dicabut permanen, apa papan kerja bisa dipulihake kanthi masang kunci anyar?
Ora. Sawise kunci ilang, data kanthi desain ora bisa dibalekake maneh. Siji-sijine perbaikan yaiku nggawe papan kerja anyar.
Apa sing kudu ditindakake yen papan kerja dadi ora bisa diakses amarga owah-owahan kunci?
Perbaikan sing dikarepake yaiku nggawe papan kerja anyar. Nganyari KMS ora bakal mulihake data sing wis ana.
Apa rencana mundur yen aku mutusake mandheg nggunakake CMEK?
Saiki, ora ana rencana mundur. Sawise papan kerja digawe nganggo CMEK, kabeh data sing gegandhengan dienkripsi nganggo kunci sing dikelola pelanggan lan ora bisa diakses tanpa kunci kasebut. Siji-sijine cara kanggo mungkasi panggunaan CMEK yaiku nggawe papan kerja anyar — data terenkripsi sing wis ana bakal tetep ora bisa diakses kanthi permanen.
Apa sing kedadeyan nalika aku ngerotasi kunci master-ku?
Materi kriptografis anyar bakal digawe kanggo enkripsi, mula panjaluk enkripsi anyar bakal nggunakake kunci anyar. Nanging, pangidentifikasi KMS (ARN utawa jeneng kunci) tetep padha lan data lawas isih bisa didekripsi. Akeh panyedhiya cloud nawakake rotasi kunci otomatis (AWS, GCP, Azure).
Apa OpenAI ngenkripsi ulang data lawas nalika aku ngerotasi kunci master-ku?
Ora. Materi kriptografis anyar mung bakal digunakake kanggo ngenkripsi data anyar.
Suwene pira nganti rotasi kunci utawa pencabutan kunci mulai berlaku?
1 jam. Iki amarga DEK/eDEK dicache ing memori lan aku validasi ulang entri iki karo KMS sampeyan saben jam.
Ngganti Pangidentifikasi KMS
Apa ngganti pangidentifikasi KMS iku pencabutan kunci utawa rotasi kunci?
Pencabutan kunci. Siji kunci ora bisa medekripsi data sing dienkripsi nganggo kunci liyane.
Apa OpenAI bisa mbantu aku ngganti pangidentifikasi KMS kanggo papan kerja ChatGPT?
Yen sampeyan ngonfirmasi yen tujuane kanggo nyabut kunci sampeyan, aku bisa mbantu nindakake iki kanggo papan kerja ChatGPT. Elinga yen nalika ARN KMS dianyari, data lawas bakal tetep ora bisa diakses, mula sawisé pangowahan sampeyan bakal duwe campuran data sing ora bisa diakses lan sing bisa diakses.
Apa OpenAI bisa mbantu aku ngganti pangidentifikasi KMS kanggo proyek API?
Yen sampeyan nggunakake API, API nggampangake ngarsipake lan nggawe proyek anyar, mula luwih becik arsipna proyek sing datane pancen ora bisa diakses, daftarna konfigurasi EKM anyar karo OpenAI, banjur gawe proyek API anyar nganggo kunci KMS anyar.
Kepiye yen aku pengin rutin ngganti pangidentifikasi KMS dhewe?
Iki ora dianjurake amarga sampeyan mbokmenawa ora pengin rutin nyabut kunci sampeyan. Nanging, sampeyan isih bisa nindakake iki yen nggunakake panyedhiya cloud sing ndhukung alias kunci KMS (conto AWS). Sampeyan bisa ndhaptar alias kunci KMS kasebut karo OpenAI, banjur ing panyedhiya cloud sampeyan bisa ngganti pangidentifikasi KMS dhasar sing dituju alias kapan wae kanggo ngetokake pencabutan kunci.
Perilaku Beta vs. GA
Apa ana risiko sing wis dingerteni utawa owah-owahan tingkat sistem nalika nggunakake beta enkripsi ing produksi?
Lingkungan beta sacara fungsional padha karo GA, lan ora ana langkah migrasi sing diarepake. Risiko utama yaiku sawetara fitur kasus pinggir bisa uga durung ndhukung konten terenkripsi amarga jalur kode durung lengkap. Iki langka lan lagi aktif dirampungake. Data dienkripsi lan dilindhungi kanthi lengkap senajan ana potensi masalah kasebut.
Apa bakal ana langkah migrasi saka beta menyang GA?
Ora. Papan kerja sing nggunakake beta enkripsi bakal otomatis didhukung ing GA tanpa tindakan pangguna.
Rincian Teknis Tambahan
Enkripsi Amplop lan Idin
Apa kita kudu menehi idin GenerateDataKey marang OpenAI kanggo EKM?
Ora. OpenAI mung mbutuhake idin Encrypt lan Decrypt ing kunci KMS sampeyan. Idin GenerateDataKey ora dibutuhake kanggo integrasi EKM.
Apa OpenAI nggunakake enkripsi amplop kanggo data pelanggan?
Ya. OpenAI nggunakake model enkripsi amplop:
KMS Pelanggan: Ngelola Key Encryption Keys (KEK). OpenAI ora tau ndeleng utawa nyimpen KEK.
Infrastruktur OpenAI: Ngasilake lan ngelola Data Encryption Keys (DEK). Saben DEK dienkripsi (dibungkus) nganggo KEK sampeyan sadurunge disimpen.
Alur Data:
Data pelanggan dienkripsi nganggo DEK.
DEK kasebut dienkripsi nganggo KEK sampeyan, ngasilake eDEK.
eDEK disimpen bebarengan karo data terenkripsi.
Kanggo medekripsi data, OpenAI njaluk KMS sampeyan medekripsi eDEK, njupuk DEK, banjur medekripsi konten.
Napa OpenAI milih model iki tinimbang ngidini KMS ngelola KEK lan DEK sekaligus?
Ana rong pendekatan enkripsi amplop sing umum:
KEK lan DEK sing Dikelola KMS:
Kaluwihan: Implementasi luwih prasaja, ora perlu njaga infrastruktur enkripsi.
Kekurangan: Saben panjaluk enkripsi/dekripsi mlebu KMS, nambah latensi, biaya, lan nggawe siji titik kegagalan.
KEK sing Dikelola KMS / DEK sing Dikelola OpenAI (Pendekatan kita):
Kaluwihan: Latensi lan biaya luwih murah banget, skalabilitas lan keandalan luwih apik, lan operasi tetep mlaku nalika ana gangguan KMS parsial (nganti TTL cache DEK).
Kekurangan: Implementasi ing sisih OpenAI rada luwih rumit.
Desain iki ngidini OpenAI menehi jaminan keamanan sing kuwat nalika nyuda risiko operasional lan biaya kanggo pelanggan.
Sepira kerepe DEK dirotasi?
Saben DEK dirotasi kira-kira saben 60 menit. Iki menehi isolasi temporal — sanajan DEK piye wae kompromi, dampake bakal winates mung kanggo data sing dienkripsi sajrone jendhela wektu siji jam kasebut.
Volume Panjaluk KMS lan Observabilitas
Kita ndeleng panjaluk KMS adoh luwih sithik tinimbang jumlah pesen pangguna. Apa angka-angka iki kudune padha?
Ora, angka kasebut ora bakal berkorelasi langsung.
Amarga OpenAI nyimpen cache DEK ing memori kanggo alasan kinerja, panggilan KMS mung ditindakake nalika DEK perlu didekripsi — ora ing saben operasi enkripsi utawa dekripsi. Mula, sampeyan kudu ngarepake:
Panjaluk KMS luwih sithik tinimbang interaksi pangguna.
Lonjakan sok-sok nalika DEK sing dicache kadaluwarsa (udakara saben jam) utawa nalika data terenkripsi lawas perlu diakses.
Panggilan tambahan nalika njupuk data historis, kayata nalika pangguna nerusake obrolan sing wis suwe mlaku lan DEK lawas kudu dimuat.
Jumlah pas panjaluk KMS gumantung marang kahanan cache, perilaku pangguna, pola akses data, lan dawa obrolan, mula ora bakal berkorelasi langsung karo volume pesen.
