Els investigadors han desenvolupat una solució de seguretat amb aquest petit xip per a models d'IA amb molta energia que ofereix protecció contra dos atacs comuns.
Aplicacions de control de la salut pot ajudar les persones a gestionar malalties cròniques o a mantenir-se al dia amb els objectius de fitness, amb res més que un telèfon intel·ligent. Tanmateix, aquestes aplicacions poden ser lentes i energèticament ineficients perquè els grans models d'aprenentatge automàtic que les alimenten s'han de traslladar entre un telèfon intel·ligent i un servidor de memòria central.
Els enginyers sovint acceleren les coses utilitzant maquinari que redueix la necessitat de moure tantes dades d'anada i tornada. Tot i que aquests acceleradors d'aprenentatge automàtic poden racionalitzar la computació, són susceptibles als atacants que poden robar informació secreta.
Per reduir aquesta vulnerabilitat, investigadors del MIT i del MIT-IBM Watson AI Lab van crear un accelerador d'aprenentatge automàtic que és resistent als dos tipus d'atacs més comuns. El seu xip pot mantenir privats els registres de salut, la informació financera o altres dades sensibles d'un usuari alhora que permet que els grans models d'IA funcionin de manera eficient als dispositius.
L'equip va desenvolupar diverses optimitzacions que permeten una seguretat forta mentre que només alenteix lleugerament el dispositiu. A més, la seguretat afegida no afecta la precisió dels càlculs. Aquest accelerador d'aprenentatge automàtic podria ser especialment beneficiós per a aplicacions d'IA exigents com la realitat augmentada i virtual o la conducció autònoma.
Tot i que la implementació del xip faria que un dispositiu sigui una mica més car i menys eficient energèticament, de vegades és un preu que val la pena pagar per la seguretat, diu l'autor principal Maitreyi Ashok, un estudiant graduat en enginyeria elèctrica i informàtica (EECS) al MIT.
"És important dissenyar tenint en compte la seguretat des de zero. Si intenteu afegir fins i tot una quantitat mínima de seguretat després d'haver dissenyat un sistema, és molt car. Vam poder equilibrar eficaçment moltes d'aquestes compensacions durant la fase de disseny", diu Ashok.
Entre els seus coautors s'inclouen Saurav Maji, un estudiant graduat de l'EECS; Xin Zhang i John Cohn del MIT-IBM Watson AI Lab; i l'autor principal Anantha Chandrakasan, directora d'innovació i estratègia del MIT, degana de l'Escola d'Enginyeria i professora d'EECS de Vannevar Bush. La investigació es presentarà a la conferència de circuits integrats personalitzats IEEE.
Susceptibilitat dels canals laterals
Els investigadors van apuntar a un tipus d'accelerador d'aprenentatge automàtic anomenat computació digital en memòria. Un xip IMC digital realitza càlculs dins de la memòria d'un dispositiu, on s'emmagatzemen peces d'un model d'aprenentatge automàtic després de ser traslladades des d'un servidor central.
Tot el model és massa gran per emmagatzemar-lo al dispositiu, però trencant-lo en trossos i reutilitzant-los tant com sigui possible, els xips IMC redueixen la quantitat de dades que s'han de moure cap endavant i cap enrere.
Però els xips IMC poden ser susceptibles als pirates informàtics. En un atac de canal lateral, un pirata informàtic controla el consum d'energia del xip i utilitza tècniques estadístiques per fer enginyeria inversa de les dades a mesura que el xip calcula. En un atac de sondeig de bus, el pirata informàtic pot robar fragments del model i del conjunt de dades sondejant la comunicació entre l'accelerador i la memòria fora del xip.
L'IMC digital accelera el càlcul realitzant milions d'operacions alhora, però aquesta complexitat fa que sigui difícil prevenir atacs amb mesures de seguretat tradicionals, diu Ashok.
Ella i els seus col·laboradors van adoptar un enfocament de tres fronts per bloquejar els atacs de canals laterals i d'autobusos.
En primer lloc, van emprar una mesura de seguretat on les dades de l'IMC es divideixen en peces aleatòries. Per exemple, un bit zero es pot dividir en tres bits que encara són iguals a zero després d'una operació lògica. L'IMC mai calcula amb totes les peces en la mateixa operació, de manera que un atac de canal lateral mai podria reconstruir la informació real.
Però perquè aquesta tècnica funcioni, cal afegir bits aleatoris per dividir les dades. Com que l'IMC digital realitza milions d'operacions alhora, generar tants bits aleatoris implicaria massa càlcul. Per al seu xip, els investigadors van trobar una manera de simplificar els càlculs, fent més fàcil dividir les dades de manera efectiva alhora que elimina la necessitat de bits aleatoris.
En segon lloc, van prevenir els atacs de sondeig de bus mitjançant un xifrat lleuger que xifra el model emmagatzemat a la memòria fora del xip. Aquest xifrat lleuger només requereix càlculs senzills. A més, només van desxifrar les peces del model emmagatzemades al xip quan calia.
En tercer lloc, per millorar la seguretat, van generar la clau que desxifra el xifrat directament al xip, en lloc de moure'l cap endavant i cap enrere amb el model. Van generar aquesta clau única a partir de variacions aleatòries del xip que s'introdueixen durant la fabricació, utilitzant el que es coneix com a funció físicament no clonable.
"Potser un cable serà una mica més gruixut que un altre. Podem utilitzar aquestes variacions per treure zeros i uns d'un circuit. Per a cada xip, podem obtenir una clau aleatòria que hauria de ser coherent perquè aquestes propietats aleatòries no haurien de canviar significativament amb el temps", explica Ashok.
Van reutilitzar les cèl·lules de memòria del xip, aprofitant les imperfeccions d'aquestes cel·les per generar la clau. Això requereix menys càlcul que generar una clau des de zero.
"Com que la seguretat s'ha convertit en un problema crític en el disseny de dispositius de punta, hi ha la necessitat de desenvolupar una pila de sistema completa centrada en el funcionament segur. Aquest treball se centra en la seguretat de les càrregues de treball d'aprenentatge automàtic i descriu un processador digital que utilitza l'optimització transversal. Incorpora l'accés a dades xifrades entre la memòria i el processador, enfocaments per prevenir atacs de canal lateral mitjançant l'aleatorització i explotar la variabilitat per generar codis únics. Aquests dissenys seran crítics en els futurs dispositius mòbils", diu Chandrakasan.
Proves de seguretat
Per provar el seu xip, els investigadors van assumir el paper de pirates informàtics i van intentar robar informació secreta mitjançant atacs de canals laterals i d'autobús.
Fins i tot després de fer milions d'intents, no van poder reconstruir cap informació real ni extreure peces del model o conjunt de dades. El xifrat també va romandre irrompible. Per contra, només es van necessitar unes 5,000 mostres per robar informació d'un xip sense protecció.
L'addició de seguretat va reduir l'eficiència energètica de l'accelerador i també va requerir una àrea de xip més gran, cosa que en faria més car de fabricar.
L'equip té previst explorar mètodes que puguin reduir el consum d'energia i la mida del seu xip en el futur, cosa que facilitaria la seva implementació a escala.
"A mesura que es fa massa car, es fa més difícil convèncer algú que la seguretat és fonamental. El treball futur podria explorar aquestes compensacions. Potser podríem fer-ho una mica menys segur, però més fàcil d'implementar i menys costós", diu Ashok.
Escrit per Adam Zewe
