Undersikers hawwe in feiligensoplossing ûntwikkele mei dizze lytse chip foar machtshongerige AI-modellen dy't beskerming biedt tsjin twa mienskiplike oanfallen.
Apps foar sûnensmonitoring kin minsken helpe om chronike sykten te behearjen of op koers te bliuwen mei fitnessdoelen, mei neat mear as in smartphone. Dizze apps kinne lykwols stadich en enerzjy-yneffisjint wêze, om't de grutte masine-learmodellen dy't se oanmeitsje moatte wurde ferpleatst tusken in smartphone en in sintrale ûnthâldserver.
Yngenieurs fersnelle dingen faaks mei help fan hardware dy't de needsaak ferminderet om safolle gegevens hinne en wer te ferpleatsen. Hoewol dizze masine-learversnellers de berekkening kinne streamline, binne se gefoelich foar oanfallers dy't geheime ynformaasje kinne stelle.
Om dizze kwetsberens te ferminderjen, makken ûndersikers fan MIT en it MIT-IBM Watson AI Lab in masine-learversneller dy't resistint is foar de twa meast foarkommende soarten oanfallen. Harren chip kin de sûnensrekords, finansjele ynformaasje, of oare gefoelige gegevens fan in brûker privee hâlde, wylst se noch altyd enoarme AI-modellen kinne effisjint rinne op apparaten.
It team ûntwikkele ferskate optimisaasjes dy't sterke feiligens ynskeakelje, wylst it apparaat mar in bytsje fertrage. Boppedat hat de tafoege feiligens gjin ynfloed op de krektens fan berekkeningen. Dizze masine-learversneller koe foaral foardielich wêze foar easken AI-applikaasjes lykas augmented en firtuele realiteit as autonoom riden.
Wylst de ymplemintaasje fan 'e chip in apparaat wat djoerder en minder enerzjysunich soe meitsje, is dat soms in weardefolle priis om te beteljen foar feiligens, seit haadauteur Maitreyi Ashok, in ôfstudearre studint fan elektrotechnyk en kompjûterwittenskip (EECS) oan MIT.
"It is wichtich om te ûntwerpen mei feiligens yn gedachten fan 'e grûn ôf. As jo besykje sels in minimale hoemannichte feiligens ta te foegjen neidat in systeem is ûntworpen, is it te djoer. Wy wiene yn steat om in protte fan dizze ôfwikselingen effektyf te balansearjen yn 'e ûntwerpfaze, "seit Ashok.
Har co-auteurs befetsje Saurav Maji, in EECS ôfstudearre studint; Xin Zhang en John Cohn fan it MIT-IBM Watson AI Lab; en senior auteur Anantha Chandrakasan, MIT's haad ynnovaasje- en strategyoffisier, dekaan fan 'e School of Engineering, en de Vannevar Bush heechlearaar EECS. It ûndersyk sil wurde presintearre op 'e IEEE Custom Integrated Circuits Conference.
Side-kanaal gefoelichheid
De ûndersikers rjochte op in soarte fan masine-learversneller neamd digitale yn-memory compute. In digitale IMC-chip fiert berekkeningen út yn it ûnthâld fan in apparaat, wêr't stikken fan in masine-learmodel wurde opslein nei't se binne ferpleatst fan in sintrale server.
It hiele model is te grut om op it apparaat op te slaan, mar troch it yn stikken te brekken en dy stikken safolle mooglik te brûken, ferminderje IMC-chips de hoemannichte gegevens dy't hinne en wer ferpleatst wurde moatte.
Mar IMC-chips kinne gefoelich wêze foar hackers. Yn in side-kanaal oanfal kontrolearret in hacker it enerzjyferbrûk fan 'e chip en brûkt statistyske techniken om gegevens te reverse-engineerjen as de chip berekkent. Yn in bus-probing-oanfal kin de hacker bits fan it model en dataset stelle troch de kommunikaasje tusken de accelerator en it off-chip-ûnthâld te ûndersiikjen.
Digitale IMC fersnelt de berekkening troch miljoenen operaasjes tagelyk út te fieren, mar dizze kompleksiteit makket it lestich om oanfallen te foarkommen mei tradisjonele feiligensmaatregels, seit Ashok.
Sy en har kollaborateurs namen in trijesidige oanpak foar it blokkearjen fan side-kanaal en bus-probing oanfallen.
Earst brûkten se in befeiligingsmaatregel wêrby't gegevens yn 'e IMC wurde opdield yn willekeurige stikken. Bygelyks, in bit nul kin opdield wurde yn trije bits dy't noch altyd gelyk oan nul binne nei in logyske operaasje. De IMC berekkent noait mei alle stikken yn deselde operaasje, dus in oanfal op sydkanaal koe de echte ynformaasje nea rekonstruearje.
Mar foar dizze technyk om te wurkjen, moatte willekeurige bits wurde tafoege om de gegevens te splitsen. Om't digitale IMC miljoenen operaasjes tagelyk útfiert, soe it generearjen fan safolle willekeurige bits tefolle berekkenjen wêze. Foar har chip fûnen de ûndersikers in manier om berekkeningen te ferienfâldigjen, wêrtroch it makliker is om gegevens effektyf te splitsen, wylst de needsaak foar willekeurige bits elimineare.
Twad, se foarkaam bus-probing oanfallen mei help fan in lichtgewicht sifer dat fersiferet it model opslein yn off-chip ûnthâld. Dit lichtgewicht sifer fereasket allinich ienfâldige berekkeningen. Derneist ûntsifere se allinich de stikken fan it model op 'e chip opslein as it nedich is.
Tredde, om de feiligens te ferbetterjen, genereare se de kaai dy't it sifer direkt op 'e chip ûntsiferet, ynstee fan it hinne en wer te ferpleatsen mei it model. Se generearre dizze unike kaai út willekeurige fariaasjes yn 'e chip dy't wurde yntrodusearre tidens fabrikaazje, mei help fan wat is bekend as in fysyk unclonable funksje.
"Miskien sil de iene draad wat dikker wêze as de oare. Wy kinne dizze fariaasjes brûke om nullen en enen út in circuit te heljen. Foar elke chip kinne wy in willekeurige kaai krije dy't konsekwint wêze moat, om't dizze willekeurige eigenskippen net signifikant moatte feroarje yn 'e rin fan' e tiid," ferklearret Ashok.
Se brûkten de ûnthâldsellen op 'e chip opnij, en benutten de ûnfolsleinens yn dizze sellen om de kaai te generearjen. Dit fereasket minder berekkening dan it generearjen fan in kaai fanôf it begjin.
"Om't feiligens in kritysk probleem wurden is yn it ûntwerp fan râneapparaten, is d'r needsaak om in folsleine systeemstapel te ûntwikkeljen dy't rjochte is op feilige operaasje. Dit wurk rjochtet him op feiligens foar wurkloads foar masine-learen en beskriuwt in digitale prosessor dy't cross-cutting optimalisaasje brûkt. It omfettet fersifere gegevenstagong tusken ûnthâld en prosessor, oanpakken foar it foarkommen fan side-kanaal oanfallen mei randomisaasje, en it brûken fan fariabiliteit om unike koades te generearjen. Sokke ûntwerpen sille kritysk wêze yn takomstige mobile apparaten, ”seit Chandrakasan.
Feiligens testen
Om har chip te testen, namen de ûndersikers de rol fan hackers op en besochten geheime ynformaasje te stellen mei help fan side-kanaal en bus-probing oanfallen.
Sels nei it meitsjen fan miljoenen pogingen, koene se gjin echte ynformaasje rekonstruearje of stikken fan it model of dataset ekstrahearje. It sifer bleau ek ûnbrûkber. Yn tsjinstelling, it duorre mar sa'n 5,000 samples om ynformaasje te stellen fan in net beskerme chip.
De tafoeging fan feiligens fermindere de enerzjy-effisjinsje fan 'e accelerator, en it easke ek in grutter chipgebiet, wat it djoerder meitsje soe om te meitsjen.
It team is fan plan om metoaden te ûndersykjen dy't it enerzjyferbrûk en de grutte fan har chip yn 'e takomst kinne ferminderje, wat it makliker meitsje soe om op skaal te ymplementearjen.
“Omdat it te djoer wurdt, wurdt it dreger om immen te oertsjûgjen dat feiligens kritysk is. Takomstich wurk koe dizze kompromissen ûndersykje. Miskien kinne wy it in bytsje minder feilich meitsje, mar makliker te ymplementearjen en minder djoer, "seit Ashok.
Skreaun troch Adam Zewe
