Výzkumníci vyvinuli bezpečnostní řešení s tímto malým čipem pro modely umělé inteligence náročné na energii, které nabízí ochranu proti dvěma běžným útokům.
Aplikace pro sledování zdraví může pomoci lidem zvládat chronická onemocnění nebo zůstat na správné cestě s kondičními cíli, a to pomocí ničeho jiného než chytrého telefonu. Tyto aplikace však mohou být pomalé a energeticky neefektivní, protože obrovské modely strojového učení, které je pohání, musí být přemístěny mezi smartphone a centrální paměťový server.
Inženýři často věci urychlují pomocí hardwaru, který snižuje potřebu přesouvat tolik dat tam a zpět. I když tyto akcelerátory strojového učení mohou zefektivnit výpočet, jsou náchylné k útočníkům, kteří mohou ukrást tajné informace.
Pro snížení této zranitelnosti vytvořili výzkumníci z MIT a MIT-IBM Watson AI Lab akcelerátor strojového učení, který je odolný vůči dvěma nejběžnějším typům útoků. Jejich čip může uchovávat zdravotní záznamy uživatele, finanční informace nebo jiná citlivá data v soukromí, a přitom stále umožňuje, aby obrovské modely umělé inteligence fungovaly na zařízeních efektivně.
Tým vyvinul několik optimalizací, které umožňují silné zabezpečení a přitom jen mírně zpomalují zařízení. Navíc přidané zabezpečení neovlivňuje přesnost výpočtů. Tento akcelerátor strojového učení by mohl být zvláště výhodný pro náročné aplikace umělé inteligence, jako je rozšířená a virtuální realita nebo autonomní řízení.
Zatímco implementace čipu by zařízení mírně zdražila a byla méně energeticky účinná, což je někdy cena, kterou se vyplatí zaplatit za bezpečnost, říká hlavní autor Maitreyi Ashok, postgraduální student elektrotechniky a informatiky (EECS) na MIT.
„Je důležité navrhovat s ohledem na bezpečnost od základu. Pokud se snažíte přidat byť jen minimální množství zabezpečení poté, co byl systém navržen, je to neúměrně drahé. Během fáze návrhu jsme dokázali efektivně vyvážit mnoho z těchto kompromisů,“ říká Ashok.
Mezi její spoluautory patří Saurav Maji, postgraduální student EECS; Xin Zhang a John Cohn z MIT-IBM Watson AI Lab; a hlavní autorka Anantha Chandrakasan, ředitelka pro inovace a strategii MIT, děkanka School of Engineering a profesorka EECS Vannevar Bush. Výzkum bude prezentován na konferenci IEEE Custom Integrated Circuits Conference.
Citlivost postranního kanálu
Výzkumníci se zaměřili na typ akcelerátoru strojového učení zvaný digitální in-memory compute. Digitální čip IMC provádí výpočty v paměti zařízení, kde se po přesunutí z centrálního serveru ukládají části modelu strojového učení.
Celý model je příliš velký na to, aby se dal uložit do zařízení, ale tím, že jej rozbijete na kousky a znovu je využijete co nejvíce, sníží čipy IMC množství dat, která je třeba přemisťovat tam a zpět.
Ale IMC čipy mohou být náchylné k hackerům. Při útoku postranním kanálem hacker monitoruje spotřebu energie čipu a používá statistické techniky k reverznímu inženýrství dat, když čip počítá. Při útoku na sběrnici může hacker ukrást bity modelu a datové sady testováním komunikace mezi akcelerátorem a mimočipovou pamětí.
Digitální IMC urychluje výpočet prováděním milionů operací najednou, ale tato složitost ztěžuje předcházení útokům pomocí tradičních bezpečnostních opatření, říká Ashok.
Ona a její spolupracovníci zvolili třístupňový přístup k blokování útoků postranních kanálů a sběrnic.
Nejprve použili bezpečnostní opatření, kde jsou data v IMC rozdělena na náhodné části. Například bit nula může být rozdělen na tři bity, které se po logické operaci stále rovnají nule. IMC nikdy nepočítá se všemi kusy ve stejné operaci, takže útok postranním kanálem by nikdy nemohl rekonstruovat skutečné informace.
Ale aby tato technika fungovala, musí se k rozdělení dat přidat náhodné bity. Protože digitální IMC provádí miliony operací najednou, generování tolika náhodných bitů by vyžadovalo příliš mnoho výpočtů. Pro svůj čip našli vědci způsob, jak zjednodušit výpočty, usnadnit efektivní dělení dat a zároveň eliminovat potřebu náhodných bitů.
Zadruhé zabránili útokům na sběrnici pomocí odlehčené šifry, která zašifruje model uložený v paměti mimo čip. Tato odlehčená šifra vyžaduje pouze jednoduché výpočty. Dílky modelu uložené na čipu navíc dešifrovali jen v případě potřeby.
Za třetí, aby zlepšili zabezpečení, vygenerovali klíč, který šifru dešifruje přímo na čipu, místo aby ji posouvali tam a zpět s modelem. Vygenerovali tento jedinečný klíč z náhodných variací v čipu, které jsou zavedeny během výroby, pomocí toho, co je známo jako fyzicky neklonovatelná funkce.
"Možná bude jeden drát o něco tlustší než druhý." Tyto variace můžeme použít k získání nul a jedniček z obvodu. Pro každý čip můžeme získat náhodný klíč, který by měl být konzistentní, protože tyto náhodné vlastnosti by se neměly v průběhu času výrazně měnit,“ vysvětluje Ashok.
Znovu použili paměťové buňky na čipu a využili nedokonalosti těchto buněk k vytvoření klíče. To vyžaduje méně výpočtů než generování klíče od začátku.
„Vzhledem k tomu, že zabezpečení se stalo kritickým problémem při navrhování okrajových zařízení, je potřeba vyvinout kompletní systémový stack zaměřený na bezpečný provoz. Tato práce se zaměřuje na zabezpečení úloh strojového učení a popisuje digitální procesor, který využívá průřezovou optimalizaci. Zahrnuje šifrovaný přístup k datům mezi pamětí a procesorem, přístupy k předcházení útokům na postranní kanály pomocí randomizace a využití variability ke generování jedinečných kódů. Takové návrhy budou v budoucích mobilních zařízeních kritické,“ říká Chandrakasan.
Testování bezpečnosti
Aby vědci otestovali svůj čip, převzali roli hackerů a pokusili se ukrást tajné informace pomocí útoků postranních kanálů a sběrnic.
Ani po milionech pokusů nedokázali rekonstruovat žádné skutečné informace nebo extrahovat části modelu nebo datové sady. Šifra také zůstala neprolomitelná. Naproti tomu k odcizení informací z nechráněného čipu bylo zapotřebí jen asi 5,000 XNUMX vzorků.
Přidání zabezpečení snížilo energetickou účinnost akcelerátoru a také vyžadovalo větší plochu čipu, což by zdražilo jeho výrobu.
Tým plánuje prozkoumat metody, které by mohly v budoucnu snížit spotřebu energie a velikost jejich čipu, což by usnadnilo implementaci ve velkém měřítku.
„Jak je to příliš drahé, je stále těžší někoho přesvědčit, že bezpečnost je kritická. Budoucí práce by mohla tyto kompromisy prozkoumat. Možná bychom to mohli udělat trochu méně bezpečným, ale snadněji implementovatelným a levnějším,“ říká Ashok.
Napsal Adam Zewe
