Даследчыкі распрацавалі рашэнне бяспекі з дапамогай гэтага малюсенькага чыпа для энергаёмістых мадэляў штучнага інтэлекту, якое прапануе абарону ад дзвюх распаўсюджаных нападаў.
Праграмы для маніторынгу здароўя можа дапамагчы людзям справіцца з хранічнымі захворваннямі або не адставаць ад фітнес-мэтаў, выкарыстоўваючы толькі смартфон. Аднак гэтыя прыкладанні могуць быць павольнымі і энергаэфектыўнымі, таму што велізарныя мадэлі машыннага навучання, якія іх забяспечваюць, павінны перамяшчацца паміж смартфонам і цэнтральным серверам памяці.
Інжынеры часта паскараюць працу, выкарыстоўваючы апаратнае забеспячэнне, якое памяншае неабходнасць перамяшчэння вялікай колькасці даных туды-сюды. Хоць гэтыя паскаральнікі машыннага навучання могуць аптымізаваць вылічэнні, яны ўспрымальныя да зламыснікаў, якія могуць скрасці сакрэтную інфармацыю.
Каб паменшыць гэтую ўразлівасць, даследчыкі з MIT і MIT-IBM Watson AI Lab стварылі паскаральнік машыннага навучання, які ўстойлівы да двух найбольш распаўсюджаных тыпаў нападаў. Іх чып можа захоўваць у канфідэнцыяльнасці запісы здароўя карыстальніка, фінансавую інфармацыю або іншыя канфідэнцыяльныя даныя, дазваляючы пры гэтым эфектыўна працаваць на прыладах велізарных мадэляў штучнага інтэлекту.
Каманда распрацавала некалькі аптымізацый, якія забяспечваюць моцную бяспеку, але толькі нязначна запавольваюць працу прылады. Акрамя таго, дадатковая бяспека не ўплывае на дакладнасць вылічэнняў. Гэты паскаральнік машыннага навучання можа быць асабліва карысным для патрабавальных прыкладанняў штучнага інтэлекту, такіх як дапоўненая і віртуальная рэальнасць або аўтаномнае кіраванне.
У той час як укараненне чыпа зробіць прыладу крыху даражэйшай і менш энергаэфектыўнай, часам гэта вартая цана за бяспеку, кажа вядучы аўтар Майтрэйі Ашок, аспірант па электратэхніцы і інфарматыцы (EECS) Масачусецкага тэхналагічнага інстытута.
«Важна распрацоўваць праект з улікам бяспекі з нуля. Калі вы спрабуеце дадаць нават мінімальную колькасць бяспекі пасля таго, як сістэма была распрацавана, гэта занадта дорага. Мы змаглі эфектыўна збалансаваць многія з гэтых кампрамісаў на этапе праектавання», — кажа Ашок.
Сярод яе сааўтараў Саўраў Маджы, аспірант EECS; Сінь Чжан і Джон Кон з Лабараторыі AI Watson MIT-IBM; і старэйшы аўтар Ананта Чандракасан, галоўны дырэктар па інавацыях і стратэгіі Масачусецкага тэхналагічнага інстытута, дэкан Інжынернай школы і прафесар EECS Ванневара Буша. Даследаванне будзе прадстаўлена на канферэнцыі IEEE Custom Integrated Circuits Conference.
Ўспрымальнасць да бакавых каналаў
Даследчыкі нацэліліся на тып паскаральніка машыннага навучання, які называецца лічбавымі вылічэннямі ў памяці. Лічбавы чып IMC выконвае вылічэнні ў памяці прылады, дзе пасля перамяшчэння з цэнтральнага сервера захоўваюцца часткі мадэлі машыннага навучання.
Уся мадэль занадта вялікая, каб захоўваць яе на прыладзе, але, разбіваючы яе на часткі і максімальна паўторна выкарыстоўваючы гэтыя часткі, чыпы IMC памяншаюць аб'ём даных, якія неабходна перамяшчаць наперад і назад.
Але чыпы IMC могуць быць успрымальныя да хакераў. Пры атацы па бакавым канале хакер кантралюе энергаспажыванне чыпа і выкарыстоўвае статыстычныя метады для адваротнага праектавання дадзеных падчас вылічэнняў чыпа. Пры атацы з зандзіраваннем шыны хакер можа скрасці біты мадэлі і набору даных, правяраючы сувязь паміж паскаральнікам і пазачыпавай памяццю.
Digital IMC паскарае вылічэнні, выконваючы мільёны аперацый адначасова, але гэтая складанасць робіць цяжкім прадухіленне нападаў з дапамогай традыцыйных мер бяспекі, кажа Ашок.
Яна і яе супрацоўнікі выкарысталі трохбаковы падыход да блакіроўкі атак па бакавых каналах і зандзіравання шыны.
Па-першае, яны ўжылі меры бяспекі, калі дадзеныя ў IMC разбіваюцца на выпадковыя часткі. Напрыклад, нулявы біт можа быць падзелены на тры біты, якія ўсё яшчэ роўныя нулю пасля лагічнай аперацыі. IMC ніколі не выконвае разлікі з усімі часткамі ў адной аперацыі, таму атака па бакавым канале ніколі не можа аднавіць рэальную інфармацыю.
Але каб гэтая тэхніка працавала, для падзелу даных неабходна дадаць выпадковыя біты. Паколькі лічбавы IMC выконвае мільёны аперацый адначасова, генерацыя вялікай колькасці выпадковых бітаў затрачае занадта шмат вылічэнняў. Для свайго чыпа даследчыкі знайшлі спосаб спрасціць вылічэнні, палягчаючы эфектыўнае раздзяленне даных, пазбаўляючы пры гэтым патрэбы ў выпадковых бітах.
Па-другое, яны прадухілілі атакі зандзіравання шыны з дапамогай лёгкага шыфра, які шыфруе мадэль, якая захоўваецца ва пазачыпавай памяці. Гэты лёгкі шыфр патрабуе толькі простых вылічэнняў. Акрамя таго, яны толькі пры неабходнасці расшыфроўвалі фрагменты мадэлі, якія захоўваюцца на чыпе.
Па-трэцяе, каб павысіць бяспеку, яны стварылі ключ, які расшыфроўвае шыфр непасрэдна на чыпе, а не перамяшчаючы яго ўзад і наперад разам з мадэллю. Яны стварылі гэты ўнікальны ключ з выпадковых варыяцый у чыпе, якія ўводзяцца падчас вытворчасці, выкарыстоўваючы так званую функцыю, якую нельга кланаваць фізічна.
«Магчыма, адзін провад будзе крыху тоўшчы іншага. Мы можам выкарыстоўваць гэтыя варыяцыі, каб атрымаць нулі і адзінкі з схемы. Для кожнага чыпа мы можам атрымаць выпадковы ключ, які павінен быць паслядоўным, таму што гэтыя выпадковыя ўласцівасці не павінны істотна змяняцца з цягам часу», — тлумачыць Ашок.
Яны паўторна выкарыстоўвалі ячэйкі памяці на чыпе, выкарыстоўваючы недахопы ў гэтых ячэйках для стварэння ключа. Гэта патрабуе менш вылічэнняў, чым стварэнне ключа з нуля.
«Паколькі бяспека стала найважнейшай праблемай пры распрацоўцы краявых прылад, існуе неабходнасць распрацаваць поўны сістэмны стэк, арыентаваны на бяспечную працу. Гэтая праца сканцэнтравана на бяспецы працоўных нагрузак машыннага навучання і апісвае лічбавы працэсар, які выкарыстоўвае скразную аптымізацыю. Ён уключае зашыфраваны доступ да дадзеных паміж памяццю і працэсарам, падыходы да прадухілення атак па бакавых каналах з дапамогай рандомізацыі і выкарыстанне зменлівасці для стварэння унікальных кодаў. Такія канструкцыі будуць мець вырашальнае значэнне ў будучых мабільных прыладах», — кажа Чандракасан.
Тэставанне бяспекі
Каб праверыць свой чып, даследчыкі ўзялі на сябе ролю хакераў і паспрабавалі скрасці сакрэтную інфармацыю з дапамогай атак па бакавых каналах і зандзіравання шыны.
Нават пасля мільёнаў спробаў яны не змаглі аднавіць рэальную інфармацыю або атрымаць часткі мадэлі або набору дадзеных. Шыфр таксама застаўся непарушным. Наадварот, спатрэбілася ўсяго каля 5,000 узораў, каб скрасці інфармацыю з неабароненага чыпа.
Дадатковая бяспека сапраўды знізіла энергаэфектыўнасць паскаральніка, а таксама патрабавала большай плошчы чыпа, што зробіць яго выраб больш дарагім.
Каманда плануе вывучыць метады, якія маглі б паменшыць спажыванне энергіі і памер іх чыпа ў будучыні, што палегчыць яго рэалізацыю ў маштабе.
«Паколькі гэта становіцца занадта дарагім, становіцца цяжэй пераканаць кагосьці, што бяспека мае вырашальнае значэнне. Будучая праца можа вывучыць гэтыя кампрамісы. Магчыма, мы маглі б зрабіць гэта крыху менш бяспечным, але больш простым у рэалізацыі і менш дарагім», - кажа Ашок.
Аўтар: Адам Зэве
