Tutkijat ovat kehittäneet tällä pienellä sirulla tietoturvaratkaisun tehonhimoisille tekoälymalleille, joka tarjoaa suojan kahdelta yleiseltä hyökkäykseltä.
Terveyden seurantasovellukset voi auttaa ihmisiä hallitsemaan kroonisia sairauksia tai pysymään kuntotavoitteiden tiellä käyttämällä vain älypuhelinta. Nämä sovellukset voivat kuitenkin olla hitaita ja energiatehottomia, koska niitä käyttävät laajat koneoppimismallit on siirrettävä älypuhelimen ja keskusmuistipalvelimen välillä.
Insinöörit nopeuttavat usein asioita käyttämällä laitteistoa, joka vähentää tarvetta siirtää niin paljon tietoja edestakaisin. Vaikka nämä koneoppimisen kiihdyttimet voivat virtaviivaistaa laskentaa, ne ovat alttiina hyökkääjille, jotka voivat varastaa salaisia tietoja.
Tämän haavoittuvuuden vähentämiseksi MIT:n ja MIT-IBM Watson AI Labin tutkijat loivat koneoppimiskiihdytin, joka kestää kahta yleisintä hyökkäystyyppiä. Niiden siru voi pitää käyttäjän terveystiedot, taloustiedot tai muut arkaluontoiset tiedot yksityisinä, mutta silti mahdollistaa valtavien tekoälymallien tehokkaan toimimisen laitteissa.
Tiimi kehitti useita optimointeja, jotka mahdollistavat vahvan suojauksen hidastaen laitetta vain hieman. Lisäksi lisätty tietoturva ei vaikuta laskennan tarkkuuteen. Tämä koneoppimiskiihdytin voi olla erityisen hyödyllinen vaativissa tekoälysovelluksissa, kuten lisätyssä ja virtuaalitodellisuudessa tai autonomisessa ajamisessa.
Vaikka sirun käyttöönotto tekisi laitteesta hieman kalliimman ja vähemmän energiatehokkaan, se on joskus kannattava hinta turvallisuudesta, sanoo johtava kirjailija Maitreyi Ashok, sähkötekniikan ja tietojenkäsittelytieteen (EECS) jatko-opiskelija MIT:stä.
”On tärkeää suunnitella turvallisuutta ajatellen alusta alkaen. Jos yrität lisätä edes vähän turvallisuutta järjestelmän suunnittelun jälkeen, se on kohtuuttoman kallista. Pystyimme tehokkaasti tasapainottamaan monia näitä kompromisseja suunnitteluvaiheessa”, Ashok sanoo.
Hänen kanssaan kirjoittajia ovat EECS:n jatko-opiskelija Saurav Maji; Xin Zhang ja John Cohn MIT-IBM Watson AI Labista; ja vanhempi kirjailija Anantha Chandrakasan, MIT:n innovaatio- ja strategiajohtaja, tekniikan korkeakoulun dekaani ja EECS:n professori Vannevar Bush. Tutkimus esitellään IEEE Custom Integrated Circuits Conference -konferenssissa.
Sivukanavan herkkyys
Tutkijat keskittyivät eräänlaiseen koneoppimisen kiihdyttimeen, jota kutsutaan digitaaliseksi muistilaskemiseksi. Digitaalinen IMC-siru suorittaa laskelmia laitteen muistissa, jonne koneoppimismallin palaset tallennetaan sen jälkeen, kun ne on siirretty keskuspalvelimelta.
Koko malli on liian iso tallennettavaksi laitteeseen, mutta murtamalla sen osiin ja käyttämällä niitä mahdollisimman paljon uudelleen IMC-sirut vähentävät edestakaisin siirrettävän tiedon määrää.
Mutta IMC-sirut voivat olla herkkiä hakkereille. Sivukanavahyökkäyksessä hakkeri tarkkailee sirun virrankulutusta ja käyttää tilastollisia tekniikoita tietojen kääntämiseen sirun laskeessa. Väylän luotaushyökkäyksessä hakkeri voi varastaa bittejä mallista ja tietojoukosta tutkimalla tiedonsiirtoa kiihdytin ja sirun ulkopuolisen muistin välillä.
Digital IMC nopeuttaa laskentaa suorittamalla miljoonia operaatioita kerralla, mutta tämä monimutkaisuus vaikeuttaa hyökkäyksien estämistä perinteisillä turvatoimilla, Ashok sanoo.
Hän ja hänen työtoverinsa omaksuivat kolmivaiheisen lähestymistavan sivukanavien ja linja-autojen hyökkäysten estämiseen.
Ensin he käyttivät turvatoimenpidettä, jossa IMC:n tiedot jaetaan satunnaisiin osiin. Esimerkiksi nolla-bitti voidaan jakaa kolmeen bittiin, jotka ovat edelleen nolla loogisen toimenpiteen jälkeen. IMC ei koskaan laske kaikkien osien kanssa samassa operaatiossa, joten sivukanavahyökkäys ei koskaan pystynyt rekonstruoimaan todellista tietoa.
Mutta jotta tämä tekniikka toimisi, satunnaisia bittejä on lisättävä tietojen jakamiseksi. Koska digitaalinen IMC suorittaa miljoonia operaatioita kerralla, niin monen satunnaisen bitin luominen vaatisi liikaa laskentaa. Sirulleen tutkijat löysivät tavan yksinkertaistaa laskelmia, mikä helpottaa tietojen tehokasta jakamista ja eliminoi satunnaisten bittien tarpeen.
Toiseksi he estivät väylän luotaushyökkäykset käyttämällä kevyttä salausta, joka salaa sirun ulkopuoliseen muistiin tallennetun mallin. Tämä kevyt salaus vaatii vain yksinkertaisia laskelmia. Lisäksi he purkivat vain tarvittaessa sirulle tallennetut mallin palaset.
Kolmanneksi turvallisuuden parantamiseksi he loivat avaimen, joka purkaa salauksen suoraan sirulla sen sijaan, että siirtäisivät sitä edestakaisin mallin mukana. He loivat tämän ainutlaatuisen avaimen sirun satunnaisista vaihteluista, jotka otetaan käyttöön valmistuksen aikana, käyttämällä niin kutsuttua fyysisesti kloonaamatonta toimintoa.
"Ehkä yksi lanka tulee olemaan hieman paksumpi kuin toinen. Voimme käyttää näitä muunnelmia saadaksemme nollia ja ykkösiä pois piiristä. Jokaiselle sirulle voimme saada satunnaisen avaimen, jonka pitäisi olla johdonmukainen, koska näiden satunnaisten ominaisuuksien ei pitäisi muuttua merkittävästi ajan myötä”, Ashok selittää.
He käyttivät uudelleen sirun muistisoluja hyödyntäen näiden solujen epätäydellisyyksiä avaimen luomiseksi. Tämä vaatii vähemmän laskentaa kuin avaimen luominen tyhjästä.
”Koska tietoturvasta on tullut kriittinen kysymys reunalaitteiden suunnittelussa, on tarpeen kehittää täydellinen järjestelmäpino, joka keskittyy turvalliseen toimintaan. Tämä työ keskittyy koneoppimistyökuormien turvallisuuteen ja kuvaa digitaalista prosessoria, joka käyttää monialaista optimointia. Se sisältää salatun tiedonsaannin muistin ja prosessorin välillä, lähestymistapoja sivukanavahyökkäysten estämiseksi satunnaistamalla ja vaihtelevuuden hyödyntämistä ainutlaatuisten koodien luomiseen. Tällaiset mallit tulevat olemaan kriittisiä tulevaisuuden mobiililaitteissa”, Chandrakasan sanoo.
Turvallisuustestaus
Testaakseen siruaan tutkijat omaksuivat hakkereiden roolin ja yrittivät varastaa salaisia tietoja käyttämällä sivukanava- ja väylätutkintahyökkäyksiä.
He eivät edes miljoonien yritysten jälkeen pystyneet rekonstruoimaan mitään todellista tietoa tai poimimaan osia mallista tai tietojoukosta. Salaus säilyi myös rikkoutumattomana. Sitä vastoin tietojen varastaminen suojaamattomalta sirulta kesti vain noin 5,000 XNUMX näytettä.
Varmuuden lisäys vähensi kiihdytin energiatehokkuutta ja vaati myös suuremman sirualueen, mikä tekisi sen valmistuksen kalliimmaksi.
Tiimi aikoo tutkia menetelmiä, joilla voitaisiin vähentää sirun energiankulutusta ja kokoa tulevaisuudessa, mikä helpottaisi sen toteuttamista mittakaavassa.
”Koska se tulee liian kalliiksi, on vaikeampi vakuuttaa joku siitä, että turvallisuus on kriittistä. Tuleva työ voisi tutkia näitä kompromisseja. Ehkä voisimme tehdä siitä hieman vähemmän turvallisen, mutta helpompi toteuttaa ja halvempaa", Ashok sanoo.
Käsikirjoitus Adam Zewe
