Voraussetzungen

Dies setzt voraus, dass du deinen externen KMS-Schlüssel bereits gemäß einer der folgenden Anleitungen bei OpenAI registriert hast:

• OpenAI/AWS EKM – Integrationsanleitung

• OpenAI/GCP EKM – Integrationsanleitung

• OpenAI/Azure EKM – Integrationsanleitung

Wichtige Begriffe

Schlüsselrotation und Schlüsselwiderruf erfüllen unterschiedliche Zwecke. Stelle sicher, dass du die richtige Aktion für deinen Anwendungsfall wählst.

• Schlüsselrotation: Generiert neues kryptografisches Material für die Verschlüsselung neuer Daten, während die Entschlüsselung älterer Daten, die mit vorherigen Schlüsseln verschlüsselt wurden, weiterhin möglich bleibt.

  • Die Schlüsselrotation hat keine Auswirkungen auf den Zugriff auf OpenAI-Daten.

• Schlüsselwiderruf: Entzieht den Zugriff auf alle Daten, die mit vorherigen Schlüsseln verschlüsselt wurden.

  • Der Schlüsselwiderruf hebt den Zugriff auf OpenAI-Daten auf.

So überprüfst du, ob dein KMS-Schlüssel verwendet wird

Dein Cloud-Anbieter sollte über Protokolle verfügen:

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/security-logging-monitoring.html

• GCP – https://cloud.google.com/kms/docs/audit-logging

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/general/howto-logging

So änderst du deinen Schlüssel

Du kannst die automatische Schlüsselrotation einrichten. 

• AWS – https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

• GCP – https://cloud.google.com/kms/docs/rotate-key#automatic

• Azure – https://learn.microsoft.com/en-us/azure/key-vault/keys/how-to-configure-key-rotation

Zum Testen: Dein Zugriff auf OpenAI-Daten bleibt von dieser Änderung unberührt.

So widerrufst du deinen Schlüssel

Es gibt viele Möglichkeiten, den Zugriff von OpenAI auf deinen Schlüssel zu widerrufen – jede Unterbrechung im Authentifizierungsfluss führt dazu:

• Wenn du der Rolle von OpenAI den Zugriff auf den KMS-Schlüssel entziehst

• Wenn du die Berechtigungen zum Ver- und Entschlüsseln für den KMS-Schlüssel entfernst

• Falls du einen AWS-Key-Alias verwendest (nicht empfohlen): Wenn du den zugrunde liegenden KMS-ARN änderst Diese Aktion wird manchmal mit der Schlüsselrotation verwechselt, ist aber tatsächlich ein Schlüsselwiderruf. Daher wird dies nicht empfohlen, es sei denn, du bist dir absolut sicher, dass du das möchtest.

• Wenn du OpenAI bittest, den für deinen ChatGPT-Enterprise-Workspace verwendeten KMS-ARN zu aktualisieren.

So validierst du den Widerruf deines Schlüssels:

• Warte eine Stunde, bis alle Cache-Einträge aufseiten von OpenAI abgelaufen sind, und teste dann den Widerruf

  • Wenn du ChatGPT Enterprise nutzt, wirst du nicht mehr in der Lage sein, vorherige Chats zu lesen. Die Chat-Suche wird keine Ergebnisse aus früheren Konversationen mehr anzeigen und du wirst keinen Zugriff mehr auf frühere benutzerdefinierte GPTs haben. 

  • Wenn du die API verwendest, wirst du keine früheren Batch-Dateien mehr herunterladen, keine früher feinjustierten Modelle mehr verwenden oder keine früheren Antworten mehr referenzieren können, die über die Responses-API erstellt wurden.

• Wenn du die API verwendest, kannst du außerdem sofort testen, ob der Widerruf deines Schlüssels von OpenAI verarbeitet wurde und innerhalb einer Stunde wirksam wird.

  • Erstelle einen Admin-API-Schlüssel (keinen normalen API-Schlüssel): 

  • Rufe die externe OpenAI-Schlüssel-ID (extkey_xxx) ab, die deinem Workspace oder Projekt zugeordnet ist, indem du Folgendes ausführst: curl -X GET -H "Authorization: Bearer $ADMIN_API_KEY" https://api.openai.com/v1/organization/external_keys

  • Führe nun folgenden Befehl aus: curl -X POST -H "Authorization: Bearer $ADMIN_API_KEY" "https://api.openai.com/v1/organization/external_keys/extkey_xxx/validate"

Best Practices beim Schlüsselwiderruf

Falls du die API nutzt

• Archiviere das API-Projekt, dessen Daten du unzugänglich gemacht hast. Richte dann einen neuen KMS-Schlüssel ein und erstelle ein neues API-Projekt, das dem neuen KMS-Schlüssel zugeordnet ist.

• Hinweis: Du kannst den KMS-Schlüssel, der mit dem alten API-Projekt verknüpft war (für das du den Widerruf ausgeführt hast), nicht einfach austauschen. Du musst das alte Projekt archivieren. Ein Projekt, für das ein Schlüsselwiderruf durchgeführt wurde, sollte nicht weiter in Betrieb bleiben. Die API macht es sehr einfach, neue Projekte zu erstellen, also nutze diese Funktion.

Falls du ChatGPT Enterprise nutzt

• Wende dich an den OpenAI-Support, nachdem du einen Schlüssel widerrufen hast.

• Wir werden mit dir zusammenarbeiten, um einen neuen Workspace zu erstellen. Wir werden den alten Workspace nicht wiederverwenden, indem wir versuchen, ihn auf einen neuen KMS-Schlüssel zu aktualisieren. Das liegt daran, dass – wenn ein Schlüssel-Widerruf wie vorgesehen funktioniert – alle zuvor mit dem widerrufenen Schlüssel verschlüsselten Daten unzugänglich werden.