Изследователите са разработили решение за сигурност с този малък чип за енергоемки AI модели, което предлага защита срещу две често срещани атаки.
Приложения за наблюдение на здравето може да помогне на хората да управляват хронични заболявания или да останат на път с фитнес целите, като използват само смартфон. Въпреки това, тези приложения могат да бъдат бавни и енергийно неефективни, тъй като огромните модели за машинно обучение, които ги захранват, трябва да се прехвърлят между смартфон и централен сървър с памет.
Инженерите често ускоряват нещата, като използват хардуер, който намалява необходимостта от преместване на толкова много данни напред-назад. Докато тези ускорители на машинно обучение могат да рационализират изчисленията, те са податливи на нападатели, които могат да откраднат секретна информация.
За да намалят тази уязвимост, изследователи от MIT и MIT-IBM Watson AI Lab създадоха ускорител за машинно обучение, който е устойчив на двата най-често срещани вида атаки. Техният чип може да пази поверителни здравните досиета, финансовата информация или други чувствителни данни на потребителя, като същевременно позволява на огромни AI модели да работят ефективно на устройства.
Екипът разработи няколко оптимизации, които позволяват силна сигурност, като същевременно само леко забавят устройството. Освен това добавената сигурност не влияе върху точността на изчисленията. Този ускорител на машинно обучение може да бъде особено полезен за взискателни AI приложения като разширена и виртуална реалност или автономно шофиране.
Докато внедряването на чипа би направило устройство малко по-скъпо и по-малко енергийно ефективно, това понякога е разумна цена за сигурност, казва водещият автор Майтреи Ашок, студент по електротехника и компютърни науки (EECS) в MIT.
„Важно е да се проектира с мисъл за сигурността от самото начало. Ако се опитвате да добавите дори минимално количество сигурност, след като системата е проектирана, това е непосилно скъпо. Успяхме ефективно да балансираме много от тези компромиси по време на фазата на проектиране“, казва Ашок.
Нейните съавтори включват Saurav Maji, студент по EECS; Xin Zhang и John Cohn от MIT-IBM Watson AI Lab; и старши автор Ананта Чандракасан, главен директор по иновациите и стратегията на Масачузетския технологичен институт, декан на Инженерния факултет и професор на Ваневар Буш по EECS. Изследването ще бъде представено на IEEE Custom Integrated Circuits Conference.
Чувствителност към страничните канали
Изследователите са се насочили към тип ускорител за машинно обучение, наречен цифрово изчисление в паметта. Цифров IMC чип извършва изчисления в паметта на устройството, където части от модел на машинно обучение се съхраняват, след като бъдат преместени от централен сървър.
Целият модел е твърде голям, за да се съхранява на устройството, но като го разделят на части и използват повторно тези части, доколкото е възможно, IMC чиповете намаляват количеството данни, които трябва да се преместват напред-назад.
Но IMC чиповете могат да бъдат податливи на хакери. При атака на страничен канал хакер наблюдава консумацията на енергия на чипа и използва статистически техники за обратно проектиране на данни, докато чипът изчислява. При атака със сондиране на шина хакерът може да открадне части от модела и набора от данни, като изследва комуникацията между ускорителя и паметта извън чипа.
Digital IMC ускорява изчисленията чрез извършване на милиони операции наведнъж, но тази сложност затруднява предотвратяването на атаки с помощта на традиционни мерки за сигурност, казва Ашок.
Тя и нейните сътрудници възприеха тристранен подход за блокиране на атаки от странични канали и сондиране на шини.
Първо, те използваха мярка за сигурност, при която данните в IMC се разделят на произволни части. Например, бит нула може да бъде разделен на три бита, които все още са равни на нула след логическа операция. IMC никога не изчислява с всички части в една и съща операция, така че атака от страничен канал никога не би могла да реконструира истинската информация.
Но за да работи тази техника, трябва да се добавят произволни битове, за да се разделят данните. Тъй като цифровият IMC извършва милиони операции наведнъж, генерирането на толкова много произволни битове би изисквало твърде много изчисления. За техния чип изследователите са намерили начин да опростят изчисленията, като улеснят ефективното разделяне на данни, като същевременно елиминират необходимостта от произволни битове.
Второ, те предотвратиха атаки със сондиране на шина, използвайки лек шифър, който криптира модела, съхраняван в паметта извън чипа. Този лек шифър изисква само прости изчисления. В допълнение, те декриптират само частите от модела, съхранени на чипа, когато е необходимо.
Трето, за да подобрят сигурността, те генерират ключа, който дешифрира шифъра директно върху чипа, вместо да го движи напред-назад с модела. Те генерираха този уникален ключ от произволни вариации в чипа, които се въвеждат по време на производството, използвайки това, което е известно като функция, която не може да се клонира физически.
„Може би една жица ще бъде малко по-дебела от друга. Можем да използваме тези вариации, за да извадим нули и единици от верига. За всеки чип можем да получим произволен ключ, който трябва да е последователен, защото тези произволни свойства не трябва да се променят значително с течение на времето,” обяснява Ашок.
Те са използвали повторно клетките на паметта на чипа, използвайки несъвършенствата в тези клетки, за да генерират ключа. Това изисква по-малко изчисления, отколкото генерирането на ключ от нулата.
„Тъй като сигурността се превърна в критичен проблем при проектирането на крайни устройства, има нужда от разработване на пълен системен стек, фокусиран върху сигурната работа. Тази работа се фокусира върху сигурността за работни натоварвания с машинно обучение и описва цифров процесор, който използва междусекторна оптимизация. Той включва криптиран достъп до данни между паметта и процесора, подходи за предотвратяване на атаки от странични канали чрез рандомизация и използване на променливостта за генериране на уникални кодове. Такива дизайни ще бъдат критични в бъдещите мобилни устройства“, казва Чандракасан.
Тестване на безопасността
За да тестват своя чип, изследователите влязоха в ролята на хакери и се опитаха да откраднат секретна информация, използвайки атаки за странични канали и атаки за сондиране на шина.
Дори след като направиха милиони опити, те не можаха да реконструират реална информация или да извлекат части от модела или набора от данни. Шифърът също остана неразбиваем. За разлика от това бяха необходими само около 5,000 проби, за да се открадне информация от незащитен чип.
Добавянето на сигурност наистина намали енергийната ефективност на ускорителя и също така изискваше по-голяма площ на чипа, което би направило по-скъпо производството му.
Екипът планира да проучи методи, които биха могли да намалят консумацията на енергия и размера на техния чип в бъдеще, което би улеснило прилагането му в мащаб.
„Тъй като става твърде скъпо, става по-трудно да убедиш някого, че сигурността е критична. Бъдещата работа може да проучи тези компромиси. Може би бихме могли да го направим малко по-малко сигурен, но по-лесен за изпълнение и по-евтин“, казва Ашок.
Написано от Адам Зеве
