Forscher haben mit diesem winzigen Chip eine Sicherheitslösung für stromhungrige KI-Modelle entwickelt, die Schutz vor zwei gängigen Angriffen bietet.
Apps zur Gesundheitsüberwachung kann Menschen dabei helfen, mit chronischen Krankheiten umzugehen oder ihre Fitnessziele einzuhalten – und das nur mit einem Smartphone. Diese Apps können jedoch langsam und energieineffizient sein, da die umfangreichen maschinellen Lernmodelle, die ihnen zugrunde liegen, zwischen einem Smartphone und einem zentralen Speicherserver hin- und hergeschoben werden müssen.
Ingenieure beschleunigen die Arbeit oft durch den Einsatz von Hardware, die die Notwendigkeit verringert, so viele Daten hin und her zu verschieben. Obwohl diese Beschleuniger für maschinelles Lernen die Berechnung optimieren können, sind sie anfällig für Angreifer, die geheime Informationen stehlen können.
Um diese Schwachstelle zu verringern, haben Forscher des MIT und des MIT-IBM Watson AI Lab einen Beschleuniger für maschinelles Lernen entwickelt, der gegen die beiden häufigsten Angriffsarten resistent ist. Ihr Chip kann die Gesundheitsakten, Finanzinformationen oder andere sensible Daten eines Benutzers geheim halten und gleichzeitig die effiziente Ausführung riesiger KI-Modelle auf Geräten ermöglichen.
Das Team entwickelte mehrere Optimierungen, die eine hohe Sicherheit ermöglichen und das Gerät nur geringfügig verlangsamen. Darüber hinaus hat die zusätzliche Sicherheit keinen Einfluss auf die Genauigkeit der Berechnungen. Dieser Beschleuniger für maschinelles Lernen könnte besonders für anspruchsvolle KI-Anwendungen wie Augmented und Virtual Reality oder autonomes Fahren von Nutzen sein.
Während die Implementierung des Chips ein Gerät etwas teurer und weniger energieeffizient machen würde, ist das manchmal ein lohnender Preis für die Sicherheit, sagt Hauptautor Maitreyi Ashok, ein Doktorand der Elektrotechnik und Informatik (EECS) am MIT.
„Es ist wichtig, bei der Gestaltung von Grund auf auf Sicherheit zu achten. Wenn Sie versuchen, nach dem Entwurf eines Systems auch nur ein minimales Maß an Sicherheit hinzuzufügen, ist dies unerschwinglich teuer. Wir konnten viele dieser Kompromisse während der Designphase effektiv ausbalancieren“, sagt Ashok.
Zu ihren Co-Autoren gehören Saurav Maji, ein EECS-Doktorand; Xin Zhang und John Cohn vom MIT-IBM Watson AI Lab; und die leitende Autorin Anantha Chandrakasan, Chief Innovation and Strategy Officer des MIT, Dekanin der School of Engineering und Vannevar Bush-Professorin für EECS. Die Forschungsergebnisse werden auf der IEEE Custom Integrated Circuits Conference vorgestellt.
Anfälligkeit für Seitenkanäle
Die Forscher zielten auf eine Art Beschleuniger für maschinelles Lernen namens Digital In-Memory Compute. Ein digitaler IMC-Chip führt Berechnungen im Speicher eines Geräts durch, wo Teile eines maschinellen Lernmodells gespeichert werden, nachdem sie von einem zentralen Server übertragen wurden.
Das gesamte Modell ist zu groß, um es auf dem Gerät zu speichern, aber indem IMC-Chips es in Teile zerlegen und diese Teile so weit wie möglich wiederverwenden, reduzieren sie die Datenmenge, die hin und her verschoben werden muss.
Doch IMC-Chips können für Hacker anfällig sein. Bei einem Seitenkanalangriff überwacht ein Hacker den Stromverbrauch des Chips und verwendet statistische Techniken, um Daten während der Berechnung durch den Chip zurückzuentwickeln. Bei einem Bus-Probing-Angriff kann der Hacker Teile des Modells und des Datensatzes stehlen, indem er die Kommunikation zwischen dem Beschleuniger und dem Off-Chip-Speicher untersucht.
Digitales IMC beschleunigt die Berechnung, indem es Millionen von Vorgängen gleichzeitig ausführt, aber diese Komplexität macht es schwierig, Angriffe mit herkömmlichen Sicherheitsmaßnahmen zu verhindern, sagt Ashok.
Sie und ihre Mitarbeiter verfolgten einen dreigleisigen Ansatz, um Side-Channel- und Bus-Probing-Angriffe zu blockieren.
Zunächst setzten sie eine Sicherheitsmaßnahme ein, bei der die Daten im IMC in zufällige Teile aufgeteilt werden. Beispielsweise könnte ein Bit Null in drei Bits aufgeteilt werden, die nach einer logischen Operation immer noch gleich Null sind. Der IMC rechnet niemals mit allen Teilen im selben Vorgang, sodass ein Seitenkanalangriff niemals die tatsächlichen Informationen rekonstruieren könnte.
Damit diese Technik funktioniert, müssen jedoch zufällige Bits hinzugefügt werden, um die Daten aufzuteilen. Da der digitale IMC Millionen von Operationen gleichzeitig ausführt, würde die Erzeugung so vieler Zufallsbits zu viel Rechenaufwand erfordern. Für ihren Chip haben die Forscher einen Weg gefunden, Berechnungen zu vereinfachen, wodurch es einfacher wird, Daten effektiv aufzuteilen und gleichzeitig die Notwendigkeit von Zufallsbits zu eliminieren.
Zweitens verhinderten sie Bus-Probing-Angriffe mithilfe einer einfachen Chiffre, die das im Off-Chip-Speicher gespeicherte Modell verschlüsselt. Diese leichte Chiffre erfordert nur einfache Berechnungen. Darüber hinaus entschlüsselten sie die auf dem Chip gespeicherten Teile des Modells nur bei Bedarf.
Drittens generierten sie zur Verbesserung der Sicherheit den Schlüssel, der die Chiffre entschlüsselt, direkt auf dem Chip, anstatt ihn mit dem Modell hin und her zu bewegen. Sie generierten diesen einzigartigen Schlüssel aus zufälligen Variationen des Chips, die während der Herstellung eingeführt wurden, und verwendeten dabei eine sogenannte physikalisch nicht klonbare Funktion.
„Vielleicht wird ein Draht etwas dicker sein als der andere. Mit diesen Variationen können wir Nullen und Einsen aus einem Schaltkreis herausholen. Für jeden Chip können wir einen Zufallsschlüssel erhalten, der konsistent sein sollte, da sich diese Zufallseigenschaften im Laufe der Zeit nicht wesentlich ändern sollten“, erklärt Ashok.
Sie verwendeten die Speicherzellen auf dem Chip wieder und nutzten die Unvollkommenheiten dieser Zellen, um den Schlüssel zu generieren. Dies erfordert weniger Rechenaufwand als das Generieren eines Schlüssels von Grund auf.
„Da Sicherheit zu einem kritischen Thema beim Design von Edge-Geräten geworden ist, besteht die Notwendigkeit, einen vollständigen Systemstapel zu entwickeln, der sich auf den sicheren Betrieb konzentriert. Diese Arbeit konzentriert sich auf die Sicherheit für Machine-Learning-Workloads und beschreibt einen digitalen Prozessor, der übergreifende Optimierung nutzt. Es umfasst einen verschlüsselten Datenzugriff zwischen Speicher und Prozessor, Ansätze zur Verhinderung von Seitenkanalangriffen durch Randomisierung und die Ausnutzung von Variabilität zur Generierung einzigartiger Codes. Solche Designs werden in zukünftigen Mobilgeräten von entscheidender Bedeutung sein“, sagt Chandrakasan.
Sicherheitsprüfung
Um ihren Chip zu testen, schlüpften die Forscher in die Rolle von Hackern und versuchten, mithilfe von Side-Channel- und Bus-Probing-Angriffen geheime Informationen zu stehlen.
Selbst nach Millionen von Versuchen konnten sie keine echten Informationen rekonstruieren oder Teile des Modells oder Datensatzes extrahieren. Auch die Chiffre blieb unknackbar. Im Gegensatz dazu waren nur etwa 5,000 Proben erforderlich, um Informationen von einem ungeschützten Chip zu stehlen.
Die zusätzliche Sicherheit verringerte zwar die Energieeffizienz des Beschleunigers und erforderte außerdem eine größere Chipfläche, was die Herstellung verteuern würde.
Das Team plant, Methoden zu erforschen, die den Energieverbrauch und die Größe ihres Chips in Zukunft reduzieren könnten, was die Implementierung in großem Maßstab erleichtern würde.
„Je mehr es zu teuer wird, desto schwieriger wird es, jemanden davon zu überzeugen, dass Sicherheit von entscheidender Bedeutung ist. Zukünftige Arbeiten könnten diese Kompromisse untersuchen. Vielleicht könnten wir es etwas weniger sicher machen, aber einfacher zu implementieren und kostengünstiger“, sagt Ashok.
Geschrieben von Adam Zewe
