Format evidence pack — OpenAI Audit

Les packs OpenAI Audit utilisent le même vérifieur et la même chaîne de signature. Manifest avec module: "openai_admin", schema_version 2. 4 fichiers jsonl au lieu de 2.

Layout

pack-N.tar.gz
├── manifest.json    — signé
├── manifest.sig     — Ed25519
├── users.jsonl
├── projects.jsonl
├── api_keys.jsonl
└── events.jsonl

Clés manifest.json

{
  "schema_version":   2,
  "module":           "openai_admin",
  "pack_id":          "12",
  "org_ids":          ["org-abc123"],
  "user_count":       25,
  "project_count":    3,
  "api_key_count":    12,
  "event_count":      89,
  "users_sha256":     "…",
  "projects_sha256":  "…",
  "api_keys_sha256":  "…",
  "events_sha256":    "…",
  "signing_public_hex": "d2f60e21…"
}

Vérification

python3 tools/evidence-pack-verify.py pack-12.tar.gz \
    --expected-pubkey <votre clé monsys épinglée>

Ce que la pack prouve

Inventaire des clés API à la date X
Quelles clés sont orphelines (last_used_at < period_start - 90j)
Qui était admin dans la période
Horodatage de chaque ajout/suppression de clé/user/projet

Ce que la pack ne montre PAS

Emails complets — seulement préfixes et hashes
Valeurs complètes des clés API
Ce que les clés ont fait (prompts/completions)