AI Modell Titkosítás: Bevált gyakorlatok az adatok védelmére tárolás és átvitel során

2025.10.17.
AI Biztonság Blog

Az AI modell, mint a Halálcsillag tervei: Miért élet-halál kérdése a titkosítás?

Gondoltál már arra, hogy a gondosan trenírozott, finomhangolt, gigabájtokat felemésztő AI modelled valójában micsoda? Nem, nem csak egy fájl egy S3 bucketben. Nem csak egy sor Python kód, ami egy predict() függvényt futtat.

Az a modell.h5 vagy final_model.pkl fájl a céged szellemi tulajdonának a sűrítménye. A koronaékszer. A Szent Grál. Vagy, ha úgy tetszik, a Halálcsillag tervei. Egyetlen fájlban ott van a több hónapos kutatás, a drága GPU-idő, és ami a legfontosabb: az az egyedi képesség, ami a te termékedet megkülönbözteti a többiekétől.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

És te hol tartod? Egy véletlenül publikussá tett storage-fiókban? Egy jelszó nélküli belső hálózati meghajtón? Egy fejlesztői laptop letöltések mappájában?

Ha a válasz bármelyikre „talán”, akkor ez a poszt neked szól. Nem fogunk bullshit marketing-dumával dobálózni. Helyette a lényegre törünk: hogyan védd meg a modelledet titkosítással, mintha az életed múlna rajta. Mert a cégedé bizonyosan ezen múlhat.

A legtöbb cég úgy kezeli az AI modelljeit, mint egy értékes festményt. Kirakják a falra (a szerverre), és remélik, hogy a riasztó (a tűzfal) elég lesz. De mi van, ha a tolvaj már bent van az épületben?

Két fő csatatérről fogunk beszélni, ahol a modelledet védened kell: amikor „alszik” (nyugalmi állapotban, at rest) és amikor „mozog” (átvitel során, in transit). Mindkettő másfajta fegyverzetet igényel.

Első felvonás: A sárkány kincse – Titkosítás nyugalmi állapotban (Encryption at Rest)

Képzeld el a modelledet, mint egy sárkány által őrzött aranykincset. A sárkány (a szerver) alszik, a kincs (a modell) pedig ott hever a barlangban (a merevlemezen, SSD-n, cloud storage-ben). A „nyugalmi állapot” azt jelenti, hogy az adat éppen nem aktívan feldolgozás alatt áll, hanem passzívan tárolódik valahol.

Miért veszélyes ez? Mert ez az az állapot, amikor a legkönnyebb egyben, észrevétlenül ellopni. Egy rosszul konfigurált S3 bucket, egy elvesztett céges laptop, egy belsős támadó, aki egy pendrive-val másolja le a fájlt – a lehetőségek tárháza végtelen. Ha a modelled titkosítatlanul hever a diszken, az olyan, mintha a kincsesládát tárva-nyitva hagynád.

A „jóvanazúgy” szint: Fájlrendszer-szintű titkosítás

Az első, legegyszerűbb védelmi vonal a teljes lemez titkosítása. Ilyen a Windows BitLocker, a macOS FileVault vagy a Linux LUKS. Ez olyan, mintha az egész barlang bejáratát befalaznád egy hatalmas kőtömbbel.

Előnye: Egyszerű beállítani, és mindenre kiterjed. Ha valaki fizikailag ellopja a szervert vagy a laptopot, nem fogja tudni olvasni a lemezt a megfelelő kulcs nélkül.
Hátránya: Amint a rendszer fut és a lemez fel van oldva, a védelem gyakorlatilag megszűnik. Bármelyik folyamat, aminek van jogosultsága, ugyanúgy hozzáfér a titkosítatlan modellfájlhoz, mintha az sosem lett volna levédve. Ez a védelem a fizikai lopás ellen jó, de egy szoftveres támadó vagy egy belsős fenyegetés ellen vajmi keveset ér.

Ez a minimum. Az alap, amit kötelező megtenni, de naivság lenne itt megállni.

A profi szint: Alkalmazás-szintű titkosítás

Itt kezdődik az igazi játék. Ahelyett, hogy az egész barlangot zárnánk le, magát a kincsesládát (a modellfájlt) látjuk el egy feltörhetetlen lakattal. Azaz: a modellfájlt magát titkosítjuk, mielőtt még a fájlrendszerre írnánk.

Ez azt jelenti, hogy még ha egy támadó teljes hozzáférést is szerez a futó szerverhez, és le tudja másolni a modell.pkl fájlt, csak egy halom olvashatatlan digitális szemetet kap. A modell használatához előbb fel kell oldania a titkosítást, amihez szüksége van a kulcsra.

És ezzel el is érkeztünk a legfontosabb kérdéshez.

A kulcskezelés gordiuszi csomója: Hol a pokolban tartod a kulcsokat?

Van egy tökéletes, feltörhetetlen széfed. Gratulálok. Most hova teszed a kulcsot? A lábtörlő alá? Egy cetlin a monitorra ragasztva?

A titkosítás ereje pontosan annyit ér, amennyire biztonságban tudod a kulcsaidat. Nézzük a tipikus, de borzalmas megoldásokat, amiket nap mint nap látok:

Módszer Miért borzalmas ötlet? Analógia
Hardcode-olva a kódban Bárki, aki hozzáfér a forráskódhoz (pl. egy Git repóhoz), azonnal ismeri a kulcsot. A kulcs cseréje egyet jelent a kód módosításával és újra deployolásával. A széf kombinációját rátetoválod a homlokodra.
Környezeti változóban (Environment Variable) Jobb, de még mindig gyenge. Bárki, aki shell hozzáférést szerez a géphez, egy egyszerű env paranccsal kiolvashatja. A logokban is kiszivároghat. A kulcsot a széf melletti virágcserép alá rejted.
Konfigurációs fájlban Ugyanaz a probléma, mint a környezeti változóval. Ha a támadó olvashatja a fájlrendszert, olvashatja a config fájlt is. A kulcsot egy borítékban hagyod a széf tetején, „KULCS” felirattal.

Látod a mintát? Ha a kulcs ugyanott van, ahol a lakat, nem sokat értünk el. Az igazi megoldás egy dedikált, hardveresen védett rendszer: a Key Management Service (KMS).

A KMS (mint az AWS KMS, Azure Key Vault, Google Cloud KMS) egy specializált szolgáltatás, ami egyetlen dolgot csinál, de azt brutálisan jól: biztonságosan tárolja, menedzseli és auditálja a titkosítási kulcsaidat. Olyan, mint egy svájci bank a kulcsaidnak.

A trükk a következő, és ezt hívják borítékos titkosításnak (envelope encryption):

  1. Az alkalmazásod kér a KMS-től egy egyedi, egyszer használatos adatkulcsot (Data Key).
  2. A KMS generál egy ilyen kulcsot. Visszaadja neked a kulcsot tisztán (plaintext) ÉS a saját, szupertitkos Mester Kulcsával (Master Key) titkosított változatát is. A Mester Kulcs soha, de soha nem hagyja el a KMS hardveres biztonsági modulját (HSM).
  3. Az alkalmazásod a tiszta adatkulccsal titkosítja a modelledet.
  4. A titkosított modell mellé elmented a titkosított adatkulcsot. A tiszta adatkulcsot azonnal megsemmisíted a memóriából.

Amikor olvasni akarod a modellt:

  1. Betöltöd a titkosított modellt és a mellette lévő titkosított adatkulcsot.
  2. Elküldöd a titkosított adatkulcsot a KMS-nek.
  3. A KMS a Mester Kulcsával visszafejti, és visszaküldi neked a tiszta adatkulcsot (egy biztonságos, titkosított csatornán).
  4. A tiszta adatkulccsal visszafejted a modellt a memóriában, használod, majd megsemmisíted a kulcsot.

Zseniális, nem? A kulcs a széfhez (az adatkulcs) maga is egy széfben van (titkosítva a Mester Kulccsal), aminek a kulcsát (a Mester Kulcsot) soha senki nem látja. A támadónak fel kéne törnie az Amazont, a Google-t vagy a Microsoftot, hogy hozzáférjen. Sok sikert neki.

Titkosítás (Borítékos módszer) Visszafejtés KMS / HSM Mester Kulcs (sosem hagyja el) 1. Kérés Alkalmazás 2. Adatkulcsok Tiszta Adatkulcs Titkosított Adatkulcs Modell.pkl 3. Titkosítás Tárolás (S3, Disk, stb.) 4. Mentés együtt Tárolt adatok Alkalmazás 1. Betöltés KMS / HSM Mester Kulcs 2. Küldés: Titkosított Adatkulcs 3. Vissza: Tiszta Adatkulcs Titkosított Modell 4. Visszafejtés memóriában Használható Modell

Második felvonás: A páncélozott konvoj – Titkosítás átvitel során (Encryption in Transit)

A modelled nem marad örökké egy helyben. Át kell másolnod egy másik szerverre, le kell töltened egy S3 bucketből az inferenciát végző gépre, vagy talán egy API-n keresztül szolgálod ki. Amikor az adat mozog a hálózaton, sebezhetővé válik. Ezt a folyamatot kell levédenünk.

Az analógiánk itt egy páncélozott pénzszállító konvoj. A pénz a modelled, az út a hálózat (legyen az a publikus internet vagy a „biztonságos” belső hálózatod), a páncélautó pedig a titkosítási protokoll.

Egy hálózati lehallgatás (man-in-the-middle támadás) során a támadó egyszerűen „lehallgatja” a forgalmat, és ha az titkosítatlan, akkor úgy olvassa a modelled bájtjait, mintha egy nyitott könyv lenne.

A kötelező minimum: TLS mindenhol, kivétel nélkül!

A Transport Layer Security (TLS) – a régi SSL utódja – a webes kommunikáció alapköve. Ez biztosítja, hogy a böngésződ és a webszerver között a forgalom titkosított, hitelesített és sértetlen maradjon. Ugyanezt az elvet kell alkalmaznod MINDEN belső kommunikációra is.

Sokan esnek abba a hibába, hogy azt gondolják: „Á, ez csak a belső hálózat, a VPC-n belül van, itt biztonságban vagyunk.”

Ez a „vár és vizesárok” (castle-and-moat) biztonsági modell halála. A modern kiberbiztonság a Zero Trust elvén alapul: soha ne bízz, mindig ellenőrizz! Kezeld a belső hálózatodat is ugyanolyan ellenséges területnek, mint a publikus internetet. Mi van, ha a támadó már bejutott egy másik, kevésbé védett belső szolgáltatáson keresztül? Onnantól szabadon hallgatózhat a belső hálózaton, és elcsípheti a titkosítatlanul küldött modelledet.

A „belső hálózat” ma már csak egy mentális konstrukció. A valóságban minden kapcsolatot úgy kell kezelni, mintha a világ legveszélyesebb kávézójának a wifijén menne keresztül.

A TLS három dolgot garantál:

  1. Titkosítás (Confidentiality): A forgalmat senki sem tudja elolvasni, csak a küldő és a fogadó.
  2. Hitelesítés (Authentication): Biztos lehetsz benne, hogy tényleg azzal a szerverrel beszélsz, akivel gondolod, és nem egy csalóval. Ezt a szerver tanúsítványa garantálja.
  3. Sértetlenség (Integrity): A TLS biztosítja, hogy az adat nem sérült vagy módosult útközben.

A következő szint: Kölcsönös TLS (mTLS)

A standard TLS-nél a kliens (pl. a te böngésződ) ellenőrzi a szerver (pl. a bankod weboldala) tanúsítványát, hogy megbizonyosodjon a személyazonosságáról. A szerver azonban nem ellenőrzi a klienst (a belépéshez jelszót kér, nem tanúsítványt).

A belső, szolgáltatások közötti (service-to-service) kommunikációnál ennél tovább mehetünk. A kölcsönös TLS (Mutual TLS vagy mTLS) esetében nem csak a kliens ellenőrzi a szervert, hanem a szerver is ellenőrzi a klienst egy kliens oldali tanúsítvánnyal.

Ez olyan, mint egy szigorúan titkos katonai találkozó: nem elég, hogy te tudod, hogy a tábornokkal beszélsz (szerver-hitelesítés), a tábornoknak is tudnia kell, hogy te egy hitelesített kém vagy (kliens-hitelesítés). Mindkét fél igazolja magát, mielőtt egyetlen bájt is gazdát cserélne.

Az mTLS bevezetése drasztikusan megnehezíti a támadók dolgát. Hiába jutnak be a hálózatba, nem fognak tudni kommunikálni a modell-szerverrel, mert nincs érvényes kliens tanúsítványuk. Az API hívásaikat a szerver kapásból el fogja utasítani.

Standard TLS Kölcsönös TLS (mTLS) Kliens Szerver 1. Hello 2. Itt a tanúsítványom Szerver Cert 3. OK, megbízom benned. Titkosított csatorna Kliens Szerver 1. Hello, itt a tanúsítványom Kliens Cert 2. Hello, itt az enyém is Szerver Cert 3. OK, én is megbízom benned. Kölcsönösen hitelesített csatorna

Harmadik felvonás: A teljes életciklus – Rakjuk össze a kirakóst!

Láttuk a darabokat külön-külön. Most nézzük meg, hogyan áll össze egyetlen, koherens, biztonságos folyamattá egy modell teljes életciklusa a tréning befejezésétől a deploymentig.

A forgatókönyv: Egy képfelismerő modellt treníroztunk egy biztonságos, belső környezetben. Ezt a modellt szeretnénk telepíteni egy felhőben futó, Kubernetes clusteren lévő inferencia szolgáltatásba, ami egy API-n keresztül fogadja a képeket és adja vissza az eredményt.

  1. Tréning és mentés: A tréning lefut, az eredmény egy resnet_final.pt fájl. Mielőtt ezt elmentenénk a központi artifact tárolóba (pl. egy S3 bucket), lefut egy script.

  2. Titkosítás nyugalmi állapotban: A script meghívja az AWS KMS-t.

    • Kér egy új adatkulcsot.
    • Megkapja a tiszta adatkulcsot és a Mester Kulccsal titkosított adatkulcsot.
    • Az AES-256 algoritmussal, a tiszta adatkulcs segítségével titkosítja a resnet_final.pt fájlt, létrehozva a resnet_final.pt.enc fájlt.
    • A tiszta adatkulcsot azonnal törli a memóriából.
    • Feltölti az S3 bucketbe a resnet_final.pt.enc fájlt és a titkosított adatkulcsot (pl. a fájl metaadataiban vagy egy külön .key fájlban).

  3. Deployment folyamat: A CI/CD pipeline elindítja a deploymentet. Egy Kubernetes podot fog létrehozni, ami majd kiszolgálja a modellt.

  4. Biztonságos letöltés: A pod elindul. Az init konténere egy dedikált IAM szerepkörrel (Service Account) rendelkezik, ami csak és kizárólag az S3 bucket olvasására és a KMS decrypt műveletének meghívására jogosult.

    • A pod TLS-en keresztül csatlakozik az S3 API-hoz.
    • Letölti a resnet_final.pt.enc fájlt és a titkosított adatkulcsot.

  5. Visszafejtés futásidőben: A pod meghívja a KMS szolgáltatást.

    • Elküldi a titkosított adatkulcsot a KMS-nek (ez a hívás is TLS-védett).
    • A KMS a belső Mester Kulcsával visszafejti az adatkulcsot és visszaküldi a tiszta kulcsot a podnak.
    • A pod a memóriában, a tiszta adatkulcs segítségével visszafejti a resnet_final.pt.enc tartalmát. Az eredmény a tiszta, használható modell a memóriában.
    • A tiszta adatkulcsot azonnal törli a memóriából. A visszafejtett modell soha nem érinti a pod merevlemezét.

  6. Kiszolgálás: Az inferencia szerver (pl. TorchServe, TensorFlow Serving) betölti a memóriában lévő modellt és elkezdi fogadni a kéréseket. Az API endpoint, amin a kéréseket fogadja, egy API Gateway vagy Ingress Controller mögött van, ami mTLS-t kényszerít ki. Csak az arra jogosult, érvényes kliens tanúsítvánnyal rendelkező belső szolgáltatások tudnak hozzá csatlakozni.

Ez a folyamat hermetikusan lezárja a rendszert. A modell titkosítva van a tárolón, titkosítva utazik a hálózaton, és csak a memóriában, a futtatáshoz feltétlenül szükséges ideig létezik titkosítatlan formában, egy minimális jogosultságokkal rendelkező, izolált környezetben. A kulcsok kezelését pedig egy erre a célra épített, auditálható, brutálisan biztonságos szolgáltatás végzi.

Biztonságos AI Modell Életciklus 1. Tréning Környezet `modell.pt` létrejön KMS hívás, titkosítás Mentés 2. Biztonságos Tároló (S3) `modell.pt.enc` + titkosított adatkulcs CI/CD Deploy 3. Kubernetes Cluster (Inferencia) Inferencia Pod 3a. Letöltés (TLS-en) Init Konténer: `modell.pt.enc` a podon belül 3b. KMS hívás Küld: titkosított kulcs KMS Visszafejtés Mester Kulccsal Vissza: tiszta kulcs A pod megkapja a tiszta adatkulcsot és a memóriában visszafejti a modellt. `modell.pt` (csak a memóriában!) Inferencia Szerver Modell betöltve, kéréseket fogad 3c. API Kérések (mTLS)

Epilógus: A titkosítás nem egy termék, hanem egy folyamat

Ha idáig eljutottál, akkor már többet tudsz a modellek védelméről, mint a legtöbb fejlesztő. De a technológia csak a fele a történetnek. A másik fele te vagy, és a céged kultúrája.

A biztonság nem egy pipa egy checklistán. Nem egy eszköz, amit megveszel és telepítesz. Ez egy gondolkodásmód. Egy folyamatos paranoia, ami arra késztet, hogy minden egyes lépésnél feltedd a kérdést: „És mi van, ha…?”

  • Mi van, ha egy fejlesztő laptopját ellopják a kávézóból? -> A fájlrendszer-szintű titkosítás megmenti a helyzetet.
  • Mi van, ha valaki véletlenül publikussá teszi az S3 bucketet? -> Az alkalmazás-szintű titkosítás miatt csak használhatatlan adatokat látnak.
  • Mi van, ha egy támadó shell hozzáférést szerez az egyik belső szerverhez? -> A TLS és mTLS megakadályozza, hogy továbbterjedjen és lehallgassa a forgalmat.
  • Mi van, ha egy támadó hozzáférést szerez a CI/CD rendszerhez? -> A minimális jogosultság elve (least privilege) és a KMS audit logjai segítenek korlátozni a kárt és felderíteni a támadást.

A jövő még ennél is tovább megy. A konfidenciális számítástechnika (confidential computing) és a hardveres biztonsági enklávék (mint az Intel SGX vagy az AMD SEV) lehetővé teszik, hogy a modellt még a memóriában, használat közben is titkosítva tartsuk. A processzoron belül egy lezárt, védett „szobában” fut a kód, ahova még a szerver operációs rendszere vagy a hypervisor sem láthat be.

De ne várj a jövőre. A ma elérhető eszközökkel is felépíthetsz egy olyan erődöt a modelljeid köré, amin a legtöbb támadó foga beletörik.

Most pedig nézz rá a saját rendszereidre. Őszintén. Hol van a leggyengébb láncszem? Hol hagytad nyitva a páncélautó ajtaját? Hol hever a Halálcsillag terve titkosítatlanul?

Ne várd meg, amíg a Lázadók lecsapnak.

Több-bérlős MI Architektúra: A bérlők biztonságos elszigetelése (Tenant Isolation)

2025.10.17.

Biztonságos Naplózás MI-rendszerekben: GDPR-kompatibilis audit nyomvonalak kialakítása

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit