OpenAI
এই পেজটি মেশিন দিয়ে অনুবাদ করা হয়েছে। মূল ইংরেজি আর্টিকেল দেখুন

EKM প্রযুক্তিগত FAQ

EKM আচরণ, অনুমতি এবং কী লাইফসাইকেল সম্পর্কে সাধারণ প্রযুক্তিগত প্রশ্নের উত্তর

আপডেট করা হয়েছে: 14 hours ago

এনক্রিপশন ধারণা

উচ্চ-স্তরের প্রবাহ

  • আপনার ক্লাউডে থাকা একটি মাস্টার কী আপনার নিয়ন্ত্রণে থাকে, যা OpenAI কখনও দেখে না

  • আপনার মাস্টার কী OpenAI ব্যবহৃত ডেটা এনক্রিপশন কী (DEK) এনক্রিপ্ট করতে ব্যবহৃত হয়

  • OpenAI আপনার স্থির অবস্থায় থাকা ডেটা এনক্রিপ্ট করতে DEK ব্যবহার করে. একটি DEK আপনার মাস্টার কী দিয়ে এনক্রিপ্ট করা হয়, এতে একটি eDEK (এনক্রিপ্টেড DEK) তৈরি হয়, যা আপনার ডেটার সঙ্গে সংরক্ষণ করা হয়

  • ডেটা পড়তে, OpenAI eDEK নিয়ে সেটিকে DEK-এ ডিক্রিপ্ট করতে আপনার KMS-কে অনুরোধ করে, তারপর আপনার ডেটা ডিক্রিপ্ট করে

EKM এনক্রিপশন কীভাবে কাজ করে?

বিস্তারিত তথ্যের জন্য অনুগ্রহ করে আমাদের নিবন্ধটি দেখুন: OpenAI এন্টারপ্রাইজ কী ম্যানেজমেন্ট (EKM) ওভারভিউ

OpenAI কি আমার DEK সংরক্ষণ করে?

না - আমরা এনক্রিপ্টেড DEK (eDEK) সংরক্ষণ করি, যা আপনার KMS তৈরি করে. ডেটা ডিক্রিপ্ট করতে, আমরা আপনার KMS-কে eDEK ডিক্রিপ্ট করে আবার DEK-এ ফিরিয়ে দিতে বলি.

OpenAI কি আমার DEK ক্যাশ করে?

হ্যাঁ - শুধু মেমোরিতে. প্রতিটি ডেটা এনক্রিপ্ট/ডিক্রিপ্ট অনুরোধে আপনার KMS-এ না যেতে পারফরম্যান্সের জন্য এটি করা হয়. DEK কখনও স্টোরেজে লেখা হয় না.

ক্লাউড অনুমতি

আমার KMS-এ OpenAI-এর কী কী অনুমতি থাকবে?

আপনার সেট করা পলিসির মাধ্যমে আপনি আমাদের যে অনুমতিগুলো দেন, শুধু সেগুলোই. আমাদের অন্তত Encrypt/Decrypt অপারেশনের অনুমতি দরকার. প্রোডাকশন কাজে ব্যবহৃত কোনও বিদ্যমান কী পুনরায় ব্যবহার না করে, OpenAI-এর জন্য আপনার ক্লাউড KMS-এ অনুগ্রহ করে একটি নতুন কী তৈরি করুন.

OpenAI কখন আমার KMS অ্যাক্সেসের অনুমতি পায়?

এই সব ধাপ সম্পন্ন হতে হবে:

  1. আপনি OpenAI-এর পরিচয় স্বীকৃতি দিয়েছেন (ক্লাউড প্রদানকারীর ওপর নির্ভর করে ট্রাস্ট পলিসি, ওয়ার্কলোড আইডেন্টিটি ইত্যাদির মাধ্যমে).

  2. আপনি KMS অ্যাক্সেস করার জন্য একটি পলিসি তৈরি করেছেন.

  3. আপনি OpenAI-এর পরিচয়কে পলিসি অ্যাক্সেসের অনুমতি দিয়েছেন.

এই সব ধাপ না নিয়ে যদি শুধু KMS তৈরি করেন, OpenAI-এর অ্যাক্সেস থাকবে না.

আমার মাস্টার কী কি আমার ক্লাউডেই সংরক্ষণ করতে হবে?

না - আপনার মাস্টার কী কীভাবে পরিচালনা করবেন, তা আপনার সিদ্ধান্ত. আপনি ক্লাউড-পরিচালিত সমাধান নিতে পারেন, অথবা এমন বাহ্যিক সমাধান নিতে পারেন যেখানে আপনার কী আলাদাভাবে সংরক্ষিত থাকে. OpenAI-এর শুধু আপনার KMS-এ encrypt/decrypt অপারেশন কল করতে পারলেই হয় - মাস্টার কী আসলে কীভাবে encrypt/decrypt করে, তা আমাদের কাছে অদৃশ্য একটি বাস্তবায়নগত বিষয়.

কী লাইফসাইকেল

DEK/eDEK রোটেশন (OpenAI দ্বারা নিয়ন্ত্রিত)

DEK/eDEK কত ঘন ঘন রোটেট করা হয়?

এনক্রিপশন পথে প্রতি 24 ঘণ্টায় (একটি DEK/eDEK কী পেয়ারের অনুরোধ করা)

ডিক্রিপশন কী পথে প্রতি 1 ঘণ্টায় (DEK -> eDEK)

DEK বদলালে আমাকে কি কিছু করতে হবে?

না - DEK/eDEK রোটেশন OpenAI-এর ভেতরেই করা হয়. আপনার মাস্টার কী বৈধ থাকলে, আপনার মাস্টার কী দিয়ে এনক্রিপ্ট করা যে কোনও eDEK DEK-এ ডিক্রিপ্ট করা যেতে পারে, আর সেই DEK পরে আপনার ডেটা ডিক্রিপ্ট করতে ব্যবহৃত হয়.

মাস্টার কী রোটেশন ও রিভোকেশন (আপনার দ্বারা নিয়ন্ত্রিত)

কী রোটেশন ও কী রিভোকেশন কত ঘন ঘন হয়?

এটি আপনি নির্ধারণ করেন, কারণ OpenAI আপনার মাস্টার কী দেখতে পায় না.

কী রোটেশন ও কী রিভোকেশনের মধ্যে পার্থক্য কী?

কী রিভোকেশন পুরোনো কী দিয়ে এনক্রিপ্ট করা ডেটায় অ্যাক্সেস সরিয়ে দেয়. কী রোটেশন নতুন কী দিয়ে ডেটা এনক্রিপ্ট করে, কিন্তু পুরোনো ডেটা পড়ার অ্যাক্সেস বজায় রাখে.

আমি আমার মাস্টার কী রিভোক করলে কী হবে?

কোনও কী রিভোক করা হলে বা অনুমতি সরিয়ে নেওয়া হলে, ক্যাশ করা কীগুলোর মেয়াদ শেষ হলে ওয়ার্কস্পেস শেষ পর্যন্ত অকার্যকর হয়ে যাবে. সেই সময়ে OpenAI আর সংরক্ষিত ডেটা ডিক্রিপ্ট করতে বা নতুন ডেটা এনক্রিপ্ট করতে পারবে না. কার্যত, ডেটা “ছিন্নভিন্ন” হয়ে যায়.

রিভোকেশন কত দ্রুত কার্যকর হয়?

পারফরম্যান্স ও স্থিতিস্থাপকতার জন্য OpenAI DEKগুলো মেমোরিতে ক্যাশ করে. সাধারণত এক ঘণ্টার মধ্যে রিভোকেশন কার্যকর হয়, যখন ক্যাশ করা কীগুলোর মেয়াদ শেষ হয় এবং পুনরায় যাচাই ব্যর্থ হয়.

রিভোকেশন কি নিরাপদে পরীক্ষা করা যায়?

প্রোডাকশন ওয়ার্কস্পেসে রিভোকেশন পরীক্ষা করা সুপারিশ করা হয় না, কারণ এতে বিদ্যমান ডেটা স্থায়ীভাবে অ্যাক্সেসের অযোগ্য হয়ে যাবে. তবে সঠিক আচরণ যাচাই করতে এবং নিজেদের ট্রাস্ট অনুমানগুলো নিশ্চিত করতে গ্রাহকেরা স্যান্ডবক্স পরিবেশে রিভোকেশন পরীক্ষা করতে পারেন (এবং করা উচিত).

কোনও কী স্থায়ীভাবে রিভোক করা হলে, নতুন কী যুক্ত করে কি ওয়ার্কস্পেস পুনরুদ্ধার করা যায়?

না. কী হারিয়ে গেলে নকশাগতভাবেই ডেটা আর পুনরুদ্ধারযোগ্য থাকে না. একমাত্র সমাধান হলো একটি নতুন ওয়ার্কস্পেস চালু করা.

কী পরিবর্তনের কারণে কোনও ওয়ার্কস্পেস অ্যাক্সেসের অযোগ্য হয়ে গেলে আমাদের কী করা উচিত?

প্রত্যাশিত সমাধান হলো একটি নতুন ওয়ার্কস্পেস তৈরি করা. KMS আপডেট করলে বিদ্যমান ডেটা পুনরুদ্ধার হবে না.

আমরা CMEK ব্যবহার বন্ধ করার সিদ্ধান্ত নিলে ব্যাকআউট পরিকল্পনা কী?

বর্তমানে কোনও ব্যাকআউট পরিকল্পনা নেই. CMEK দিয়ে একবার কোনও ওয়ার্কস্পেস তৈরি হলে, সংশ্লিষ্ট সব ডেটা গ্রাহক-পরিচালিত কী দিয়ে এনক্রিপ্ট করা হয় এবং সেগুলো ছাড়া অ্যাক্সেস করা যায় না. CMEK ব্যবহার বন্ধ করার একমাত্র উপায় হলো একটি নতুন ওয়ার্কস্পেস তৈরি করা — বিদ্যমান এনক্রিপ্টেড ডেটা স্থায়ীভাবে অ্যাক্সেসের অযোগ্য থাকবে.

আমি আমার মাস্টার কী রোটেট করলে কী হয়?

এনক্রিপশনের জন্য নতুন ক্রিপ্টোগ্রাফিক উপাদান তৈরি হবে, তাই নতুন এনক্রিপশন অনুরোধগুলো নতুন কী ব্যবহার করবে. তবে KMS শনাক্তকারী (ARN বা কী নাম) একই থাকে এবং পুরোনো ডেটা এখনও ডিক্রিপ্ট করা যায়. অনেক ক্লাউড প্রদানকারী স্বয়ংক্রিয় কী রোটেশন দেয় (AWS, GCP, Azure).

আমি মাস্টার কী রোটেট করলে OpenAI কি পুরোনো ডেটা আবার এনক্রিপ্ট করে?

না. নতুন ক্রিপ্টোগ্রাফিক উপাদান কেবল নতুন ডেটা এনক্রিপ্ট করতে ব্যবহৃত হবে.

কী রোটেশন বা কী রিভোকেশন কার্যকর হতে কত সময় লাগে?

1 ঘণ্টা. কারণ DEK/eDEKগুলো মেমোরিতে ক্যাশ করা থাকে এবং আমরা প্রতি ঘণ্টায় আপনার KMS দিয়ে এগুলো পুনরায় যাচাই করি.

KMS শনাক্তকারী বদলানো

KMS শনাক্তকারী বদলানো কি কী রিভোকেশন, নাকি কী রোটেশন?

কী রিভোকেশন. একটি কী অন্য কী দিয়ে এনক্রিপ্ট করা ডেটা ডিক্রিপ্ট করতে পারে না.

OpenAI কি ChatGPT ওয়ার্কস্পেসের জন্য আমার KMS শনাক্তকারী বদলাতে সাহায্য করতে পারে?

আপনি যদি নিশ্চিত করেন যে উদ্দেশ্যটি আপনার কী রিভোক করা, তাহলে ChatGPT ওয়ার্কস্পেসের জন্য আমরা এতে আপনাকে সাহায্য করতে পারি. মনে রাখবেন, KMS ARN আপডেট করা হলে পুরোনো ডেটা অ্যাক্সেসের অযোগ্যই থাকবে, তাই পরিবর্তনের পরে আপনার কাছে অ্যাক্সেসযোগ্য ও অ্যাক্সেস-অযোগ্য ডেটার মিশ্রণ থাকবে.

OpenAI কি একটি API প্রজেক্টের জন্য আমার KMS শনাক্তকারী বদলাতে সাহায্য করতে পারে?

আপনি API ব্যবহার করলে, API প্রজেক্ট আর্কাইভ করা ও নতুন প্রজেক্ট তৈরি করা সহজ করে দেয়. তাই যে প্রজেক্টের ডেটা যাই হোক অ্যাক্সেসযোগ্য নয় সেটি আর্কাইভ করুন, OpenAI-এর সঙ্গে একটি নতুন EKM কনফিগ নিবন্ধন করুন, এবং নতুন KMS কী দিয়ে একটি নতুন API প্রজেক্ট তৈরি করুন.

আমি যদি নিয়মিত নিজে নিজে KMS শনাক্তকারী বদলাতে চাই?

এটি সুপারিশ করা হয় না, কারণ আপনি সম্ভবত নিয়মিত আপনার কী রিভোক করতে চাইবেন না. তবে আপনি যদি KMS কী অ্যালিয়াস সমর্থন করে এমন ক্লাউড প্রদানকারী ব্যবহার করেন, তাহলে এটি করতে পারেন (AWS উদাহরণ). আপনি সেই KMS কী অ্যালিয়াসটি OpenAI-এর সঙ্গে নিবন্ধন করতে পারেন, তারপর কী রিভোকেশন জারি করতে আপনার ক্লাউড প্রদানকারীতে যে কোনও সময় অ্যালিয়াসটি যে অন্তর্নিহিত KMS শনাক্তকারীর দিকে নির্দেশ করছে সেটি বদলে দিতে পারেন.

বিটা বনাম GA আচরণ

প্রোডাকশনে এনক্রিপশন বিটা ব্যবহার করলে কোনও পরিচিত ঝুঁকি বা সিস্টেম-স্তরের পরিবর্তন আছে কি?

বিটা পরিবেশ কার্যকারিতায় GA-এর সমতুল্য, এবং কোনও মাইগ্রেশন ধাপ প্রত্যাশিত নয়. প্রধান ঝুঁকি হলো, অসম্পূর্ণ কোড পথের কারণে কিছু এজ-কেস ফিচার হয়তো এখনও এনক্রিপ্টেড কনটেন্ট সমর্থন নাও করতে পারে. এগুলো বিরল এবং সক্রিয়ভাবে সমাধান করা হচ্ছে. এই সম্ভাব্য সমস্যাগুলো থাকলেও ডেটা সম্পূর্ণভাবে এনক্রিপ্টেড ও সুরক্ষিত থাকে.

বিটা থেকে GA-তে যেতে কোনও মাইগ্রেশন ধাপ থাকবে কি?

না. এনক্রিপশন বিটা ব্যবহার করা ওয়ার্কস্পেসগুলো ব্যবহারকারীর কোনও পদক্ষেপ ছাড়াই GA-তে স্বয়ংক্রিয়ভাবে সমর্থিত হবে.

অতিরিক্ত প্রযুক্তিগত বিবরণ

এনভেলপ এনক্রিপশন ও অনুমতি

EKM-এর জন্য কি OpenAI-কে GenerateDataKey অনুমতি দিতে হবে?

না. আপনার KMS কী-তে OpenAI-এর শুধু Encrypt ও Decrypt অনুমতি দরকার. EKM ইন্টিগ্রেশনের জন্য GenerateDataKey অনুমতি প্রয়োজন নেই.

গ্রাহক ডেটার জন্য OpenAI কি এনভেলপ এনক্রিপশন ব্যবহার করে?

হ্যাঁ. OpenAI একটি এনভেলপ এনক্রিপশন মডেল ব্যবহার করে:

  • গ্রাহকের KMS: কী এনক্রিপশন কী (KEK) পরিচালনা করে. OpenAI কখনও KEK দেখে না বা সংরক্ষণ করে না.

  • OpenAI অবকাঠামো: ডেটা এনক্রিপশন কী (DEK) তৈরি ও পরিচালনা করে. প্রতিটি DEK সংরক্ষণের আগে আপনার KEK দিয়ে এনক্রিপ্ট (র‌্যাপ) করা হয়.

  • ডেটা প্রবাহ:

    • গ্রাহক ডেটা একটি DEK দিয়ে এনক্রিপ্ট করা হয়.

    • সেই DEK আপনার KEK দিয়ে এনক্রিপ্ট করা হয়, ফলে একটি eDEK তৈরি হয়.

    • eDEK এনক্রিপ্টেড ডেটার সঙ্গে সংরক্ষণ করা হয়.

    • ডেটা ডিক্রিপ্ট করতে, OpenAI eDEK ডিক্রিপ্ট করার জন্য আপনার KMS-কে অনুরোধ করে, DEK পায়, এবং কনটেন্ট ডিক্রিপ্ট করে.

KMS-কে KEK ও DEK দুটোই পরিচালনা করতে দেওয়ার বদলে OpenAI কেন এই মডেল বেছে নিয়েছে?

এনভেলপ এনক্রিপশনের দুটি প্রচলিত পদ্ধতি আছে:

KMS-পরিচালিত KEK ও DEK:

সুবিধা: বাস্তবায়ন সহজ, এনক্রিপশন অবকাঠামো রক্ষণাবেক্ষণের প্রয়োজন নেই.

অসুবিধা: প্রতিটি এনক্রিপশন/ডিক্রিপশন অনুরোধ KMS-এ যায়, ফলে লেটেন্সি ও খরচ বাড়ে এবং ব্যর্থতার একক বিন্দু তৈরি হয়.

KMS-পরিচালিত KEK / OpenAI-পরিচালিত DEK (আমাদের পদ্ধতি):

সুবিধা: লেটেন্সি ও খরচ উল্লেখযোগ্যভাবে কম, স্কেলেবিলিটি ও নির্ভরযোগ্যতা ভালো, এবং আংশিক KMS বিভ্রাটের সময়ও চলতে পারে (DEK ক্যাশ TTL পর্যন্ত).

অসুবিধা: OpenAI-এর দিক থেকে বাস্তবায়ন সামান্য বেশি জটিল.

এই নকশা OpenAI-কে গ্রাহকদের অপারেশনাল ঝুঁকি ও খরচ কম রেখে শক্তিশালী নিরাপত্তা নিশ্চয়তা দিতে সক্ষম করে.

DEK কত ঘন ঘন রোটেট করা হয়?

প্রতিটি DEK আনুমানিক প্রতি 60 মিনিটে রোটেট করা হয়. এটি সময়ভিত্তিক বিচ্ছিন্নতা দেয় — কোনওভাবে একটি DEK কম্প্রোমাইজ হলেও, প্রভাব সেই এক ঘণ্টার সময়সীমায় এনক্রিপ্ট করা ডেটাতেই সীমিত থাকবে.

KMS অনুরোধের পরিমাণ ও পর্যবেক্ষণযোগ্যতা

ব্যবহারকারীর মেসেজের সংখ্যার তুলনায় আমরা অনেক কম KMS অনুরোধ দেখছি. এই সংখ্যাগুলো কি মেলা উচিত?

না, এগুলো সরাসরি সম্পর্কিত হবে না.

পারফরম্যান্সের কারণে OpenAI DEKগুলো মেমোরিতে ক্যাশ করে, তাই KMS কল কেবল তখনই করা হয় যখন কোনও DEK ডিক্রিপ্ট করতে হয় — প্রতিটি এনক্রিপশন বা ডিক্রিপশন অপারেশনে নয়. ফলে, আপনার যা আশা করা উচিত:

  • ব্যবহারকারীর ইন্টারঅ্যাকশনের তুলনায় কম KMS অনুরোধ.

  • মাঝে মাঝে স্পাইক, যখন ক্যাশ করা DEKগুলোর মেয়াদ শেষ হয় (প্রায় প্রতি ঘণ্টায়) বা পুরোনো এনক্রিপ্টেড ডেটা অ্যাক্সেস করতে হয়.

  • অতিরিক্ত কল, যখন ঐতিহাসিক ডেটা আনা হয়, যেমন কোনও ব্যবহারকারী দীর্ঘদিন চলা কথোপকথন চালিয়ে গেলে এবং পুরোনো DEK লোড করতে হলে.

KMS অনুরোধের সঠিক সংখ্যা ক্যাশিং অবস্থান, ব্যবহারকারীর আচরণ, ডেটা অ্যাক্সেসের ধরন এবং কথোপকথনের দৈর্ঘ্যের ওপর নির্ভর করে; তাই এটি মেসেজের পরিমাণের সঙ্গে সরাসরি সম্পর্কিত হবে না.

এই নিবন্ধটি কি সহায়ক ছিল?