Οι ερευνητές ανέπτυξαν μια λύση ασφαλείας με αυτό το μικροσκοπικό τσιπ για μοντέλα τεχνητής νοημοσύνης που χρειάζονται ενέργεια, που προσφέρει προστασία από δύο κοινές επιθέσεις.
Εφαρμογές παρακολούθησης της υγείας μπορεί να βοηθήσει τους ανθρώπους να διαχειριστούν χρόνιες ασθένειες ή να παραμείνουν σε καλό δρόμο με τους στόχους φυσικής κατάστασης, χρησιμοποιώντας τίποτα περισσότερο από ένα smartphone. Ωστόσο, αυτές οι εφαρμογές μπορεί να είναι αργές και ενεργειακά αναποτελεσματικές, επειδή τα τεράστια μοντέλα μηχανικής εκμάθησης που τις τροφοδοτούν πρέπει να μεταφέρονται μεταξύ ενός smartphone και ενός κεντρικού διακομιστή μνήμης.
Οι μηχανικοί συχνά επιταχύνουν τα πράγματα χρησιμοποιώντας υλικό που μειώνει την ανάγκη να μετακινούνται τόσα πολλά δεδομένα εμπρός και πίσω. Ενώ αυτοί οι επιταχυντές μηχανικής μάθησης μπορούν να εξορθολογίσουν τον υπολογισμό, είναι ευαίσθητοι σε επιτιθέμενους που μπορούν να κλέψουν μυστικές πληροφορίες.
Για να μειώσουν αυτήν την ευπάθεια, ερευνητές από το MIT και το MIT-IBM Watson AI Lab δημιούργησαν έναν επιταχυντή μηχανικής μάθησης που είναι ανθεκτικός στους δύο πιο συνηθισμένους τύπους επιθέσεων. Το τσιπ τους μπορεί να κρατήσει ιδιωτικά τα αρχεία υγείας, τις οικονομικές πληροφορίες ή άλλα ευαίσθητα δεδομένα ενός χρήστη, ενώ παράλληλα επιτρέπει σε τεράστια μοντέλα τεχνητής νοημοσύνης να εκτελούνται αποτελεσματικά σε συσκευές.
Η ομάδα ανέπτυξε αρκετές βελτιστοποιήσεις που επιτρέπουν την ισχυρή ασφάλεια, ενώ επιβραδύνουν ελαφρώς τη συσκευή. Επιπλέον, η πρόσθετη ασφάλεια δεν επηρεάζει την ακρίβεια των υπολογισμών. Αυτός ο επιταχυντής μηχανικής μάθησης θα μπορούσε να είναι ιδιαίτερα επωφελής για απαιτητικές εφαρμογές τεχνητής νοημοσύνης όπως η επαυξημένη και εικονική πραγματικότητα ή η αυτόνομη οδήγηση.
Ενώ η εφαρμογή του τσιπ θα έκανε μια συσκευή ελαφρώς πιο ακριβή και λιγότερο ενεργειακά αποδοτική, αυτό είναι μερικές φορές ένα πολύτιμο τίμημα για την ασφάλεια, λέει ο επικεφαλής συγγραφέας Maitreyi Ashok, μεταπτυχιακός φοιτητής ηλεκτρολόγων μηχανικών και επιστήμης υπολογιστών (EECS) στο MIT.
«Είναι σημαντικό να σχεδιάζουμε με γνώμονα την ασφάλεια από την αρχή. Εάν προσπαθείτε να προσθέσετε έστω και ένα ελάχιστο ποσό ασφάλειας μετά τη σχεδίαση ενός συστήματος, είναι απαγορευτικά ακριβό. Καταφέραμε να εξισορροπήσουμε αποτελεσματικά πολλές από αυτές τις ανταλλαγές κατά τη φάση του σχεδιασμού», λέει ο Ashok.
Οι συν-συγγραφείς της περιλαμβάνουν τον Saurav Maji, έναν μεταπτυχιακό φοιτητή EECS. Xin Zhang και John Cohn του MIT-IBM Watson AI Lab. και ανώτερη συγγραφέας Anantha Chandrakasan, επικεφαλής καινοτομίας και στρατηγικής του MIT, κοσμήτορας της Σχολής Μηχανικών, και ο Vannevar Bush Professor of EECS. Η έρευνα θα παρουσιαστεί στο συνέδριο IEEE Custom Integrated Circuits Conference.
Ευαισθησία στο πλευρικό κανάλι
Οι ερευνητές στόχευσαν έναν τύπο επιταχυντή μηχανικής μάθησης που ονομάζεται ψηφιακός υπολογισμός στη μνήμη. Ένα ψηφιακό τσιπ IMC εκτελεί υπολογισμούς μέσα στη μνήμη μιας συσκευής, όπου κομμάτια ενός μοντέλου μηχανικής μάθησης αποθηκεύονται αφού μεταφερθούν από έναν κεντρικό διακομιστή.
Ολόκληρο το μοντέλο είναι πολύ μεγάλο για να αποθηκευτεί στη συσκευή, αλλά σπάζοντας το σε κομμάτια και επαναχρησιμοποιώντας αυτά τα κομμάτια όσο το δυνατόν περισσότερο, τα τσιπ IMC μειώνουν τον όγκο των δεδομένων που πρέπει να μετακινηθούν εμπρός και πίσω.
Αλλά τα τσιπ IMC μπορεί να είναι ευαίσθητα σε χάκερ. Σε μια επίθεση πλευρικού καναλιού, ένας χάκερ παρακολουθεί την κατανάλωση ενέργειας του τσιπ και χρησιμοποιεί στατιστικές τεχνικές για να αναστρέψει τα δεδομένα καθώς το τσιπ υπολογίζει. Σε μια επίθεση ανίχνευσης διαύλου, ο χάκερ μπορεί να κλέψει κομμάτια του μοντέλου και του συνόλου δεδομένων διερευνώντας την επικοινωνία μεταξύ του επιταχυντή και της μνήμης εκτός τσιπ.
Το Digital IMC επιταχύνει τον υπολογισμό εκτελώντας εκατομμύρια λειτουργίες ταυτόχρονα, αλλά αυτή η πολυπλοκότητα καθιστά δύσκολη την αποτροπή επιθέσεων χρησιμοποιώντας παραδοσιακά μέτρα ασφαλείας, λέει ο Ashok.
Αυτή και οι συνεργάτες της ακολούθησαν μια τριμερή προσέγγιση για τον αποκλεισμό των επιθέσεων στο πλευρικό κανάλι και στο λεωφορείο.
Πρώτον, χρησιμοποίησαν ένα μέτρο ασφαλείας όπου τα δεδομένα στο IMC χωρίζονται σε τυχαία κομμάτια. Για παράδειγμα, ένα bit μηδέν μπορεί να χωριστεί σε τρία bit που εξακολουθούν να ισούνται με το μηδέν μετά από μια λογική πράξη. Το IMC δεν υπολογίζει ποτέ με όλα τα κομμάτια στην ίδια λειτουργία, επομένως μια επίθεση πλευρικού καναλιού δεν θα μπορούσε ποτέ να ανακατασκευάσει τις πραγματικές πληροφορίες.
Αλλά για να λειτουργήσει αυτή η τεχνική, πρέπει να προστεθούν τυχαία bits για να διαχωριστούν τα δεδομένα. Επειδή το ψηφιακό IMC εκτελεί εκατομμύρια λειτουργίες ταυτόχρονα, η δημιουργία τόσων πολλών τυχαίων bits θα απαιτούσε υπερβολικό υπολογισμό. Για το τσιπ τους, οι ερευνητές βρήκαν έναν τρόπο να απλοποιήσουν τους υπολογισμούς, καθιστώντας ευκολότερο τον αποτελεσματικό διαχωρισμό των δεδομένων, εξαλείφοντας την ανάγκη για τυχαία bits.
Δεύτερον, απέτρεψαν επιθέσεις ανίχνευσης διαύλου χρησιμοποιώντας έναν ελαφρύ κρυπτογράφηση που κρυπτογραφεί το μοντέλο που είναι αποθηκευμένο σε μνήμη εκτός τσιπ. Αυτός ο ελαφρύς κρυπτογράφηση απαιτεί μόνο απλούς υπολογισμούς. Επιπλέον, αποκρυπτογραφούσαν τα κομμάτια του μοντέλου που ήταν αποθηκευμένα στο τσιπ μόνο όταν ήταν απαραίτητο.
Τρίτον, για να βελτιώσουν την ασφάλεια, δημιούργησαν το κλειδί που αποκρυπτογραφεί τον κρυπτογράφηση απευθείας στο τσιπ, αντί να τον μετακινούν εμπρός και πίσω με το μοντέλο. Δημιούργησαν αυτό το μοναδικό κλειδί από τυχαίες παραλλαγές στο τσιπ που εισάγονται κατά την κατασκευή, χρησιμοποιώντας αυτό που είναι γνωστό ως φυσική μη κλωνοποιήσιμη συνάρτηση.
«Ίσως ένα καλώδιο θα είναι λίγο πιο παχύ από ένα άλλο. Μπορούμε να χρησιμοποιήσουμε αυτές τις παραλλαγές για να βγάλουμε μηδενικά και ένα από ένα κύκλωμα. Για κάθε τσιπ, μπορούμε να πάρουμε ένα τυχαίο κλειδί που θα πρέπει να είναι συνεπές, επειδή αυτές οι τυχαίες ιδιότητες δεν πρέπει να αλλάζουν σημαντικά με την πάροδο του χρόνου», εξηγεί ο Ashok.
Επαναχρησιμοποίησαν τα κύτταρα μνήμης στο τσιπ, αξιοποιώντας τις ατέλειες σε αυτά τα κελιά για να δημιουργήσουν το κλειδί. Αυτό απαιτεί λιγότερους υπολογισμούς από τη δημιουργία ενός κλειδιού από την αρχή.
«Καθώς η ασφάλεια έχει γίνει ένα κρίσιμο ζήτημα στη σχεδίαση των συσκευών άκρων, υπάρχει ανάγκη να αναπτυχθεί μια πλήρης στοίβα συστήματος που θα εστιάζει στην ασφαλή λειτουργία. Αυτή η εργασία εστιάζει στην ασφάλεια για φόρτους εργασίας μηχανικής μάθησης και περιγράφει έναν ψηφιακό επεξεργαστή που χρησιμοποιεί διατομεακή βελτιστοποίηση. Ενσωματώνει κρυπτογραφημένη πρόσβαση δεδομένων μεταξύ μνήμης και επεξεργαστή, προσεγγίσεις για την αποτροπή επιθέσεων πλευρικού καναλιού με χρήση τυχαιοποίησης και εκμετάλλευση της μεταβλητότητας για τη δημιουργία μοναδικών κωδικών. Τέτοια σχέδια θα είναι κρίσιμα στις μελλοντικές κινητές συσκευές», λέει ο Chandrakasan.
Δοκιμή ασφαλείας
Για να δοκιμάσουν το τσιπ τους, οι ερευνητές ανέλαβαν το ρόλο των χάκερ και προσπάθησαν να κλέψουν μυστικές πληροφορίες χρησιμοποιώντας επιθέσεις πλευρικού καναλιού και ανίχνευσης λεωφορείων.
Ακόμη και μετά από εκατομμύρια προσπάθειες, δεν μπόρεσαν να ανασυνθέσουν καμία πραγματική πληροφορία ή να εξαγάγουν κομμάτια του μοντέλου ή του συνόλου δεδομένων. Ο κρυπτογράφηση παρέμεινε επίσης άθραυστος. Αντίθετα, χρειάστηκαν μόνο περίπου 5,000 δείγματα για να κλέψουν πληροφορίες από ένα μη προστατευμένο τσιπ.
Η προσθήκη ασφάλειας μείωσε την ενεργειακή απόδοση του επιταχυντή και απαιτούσε επίσης μεγαλύτερη επιφάνεια τσιπ, η οποία θα καθιστούσε ακριβότερη την κατασκευή του.
Η ομάδα σχεδιάζει να διερευνήσει μεθόδους που θα μπορούσαν να μειώσουν την κατανάλωση ενέργειας και το μέγεθος του τσιπ τους στο μέλλον, κάτι που θα καθιστούσε ευκολότερη την εφαρμογή του σε κλίμακα.
«Καθώς γίνεται πολύ ακριβό, γίνεται πιο δύσκολο να πείσεις κάποιον ότι η ασφάλεια είναι κρίσιμη. Μελλοντικές εργασίες θα μπορούσαν να διερευνήσουν αυτές τις ανταλλαγές. Ίσως θα μπορούσαμε να το κάνουμε λίγο λιγότερο ασφαλές, αλλά πιο εύκολο στην εφαρμογή και λιγότερο δαπανηρό», λέει ο Ashok.
Γράφτηκε από τον Adam Zewe
