Os investigadores desenvolveron unha solución de seguridade con este pequeno chip para modelos de intelixencia artificial con fame de enerxía que ofrece protección contra dous ataques comúns.
Aplicacións de vixilancia da saúde pode axudar ás persoas a xestionar enfermidades crónicas ou a manterse no camiño dos obxectivos de fitness, usando nada máis que un teléfono intelixente. Non obstante, estas aplicacións poden ser lentas e ineficientes enerxéticamente porque os vastos modelos de aprendizaxe automática que as alimentan deben ser transferidos entre un teléfono intelixente e un servidor de memoria central.
Os enxeñeiros adoitan acelerar as cousas usando hardware que reduce a necesidade de mover tantos datos cara atrás e cara atrás. Aínda que estes aceleradores de aprendizaxe automática poden axilizar a computación, son susceptibles aos atacantes que poden roubar información secreta.
Para reducir esta vulnerabilidade, os investigadores do MIT e do MIT-IBM Watson AI Lab crearon un acelerador de aprendizaxe automática que é resistente aos dous tipos máis comúns de ataques. O seu chip pode manter privados os rexistros de saúde, a información financeira ou outros datos confidenciais dun usuario ao tempo que permite que os grandes modelos de IA funcionen de forma eficiente nos dispositivos.
O equipo desenvolveu varias optimizacións que permiten unha forte seguridade mentres que só ralentiza lixeiramente o dispositivo. Ademais, a seguridade engadida non afecta a precisión dos cálculos. Este acelerador de aprendizaxe automática podería ser especialmente beneficioso para aplicacións de IA esixentes como a realidade aumentada e virtual ou a condución autónoma.
Aínda que a implementación do chip faría que un dispositivo sexa un pouco máis caro e menos eficiente enerxéticamente, ás veces é un prezo que paga a pena pagar pola seguridade, di o autor principal Maitreyi Ashok, estudante de posgrao en enxeñaría eléctrica e informática (EECS) no MIT.
"É importante deseñar tendo en conta a seguridade desde cero. Se estás tentando engadir unha mínima seguridade despois de que un sistema foi deseñado, é prohibitivamente caro. Puidemos equilibrar de forma efectiva moitas destas compensacións durante a fase de deseño", di Ashok.
Entre os seus coautores figuran Saurav Maji, estudante de posgrao en EECS; Xin Zhang e John Cohn do MIT-IBM Watson AI Lab; e a autora principal Anantha Chandrakasan, directora de innovación e estratexia do MIT, decana da Escola de Enxeñaría e profesora de EECS de Vannevar Bush. A investigación presentarase na Conferencia de Circuítos Integrados Personalizados IEEE.
Susceptibilidade das canles laterais
Os investigadores apuntaron a un tipo de acelerador de aprendizaxe automático chamado computación dixital en memoria. Un chip IMC dixital realiza cálculos dentro da memoria dun dispositivo, onde se almacenan pezas dun modelo de aprendizaxe automática despois de ser trasladadas desde un servidor central.
Todo o modelo é demasiado grande para almacenalo no dispositivo, pero partindo en anacos e reutilizando eses anacos na medida do posible, os chips IMC reducen a cantidade de datos que se deben mover cara atrás e cara atrás.
Pero os chips IMC poden ser susceptibles aos hackers. Nun ataque de canle lateral, un hacker monitoriza o consumo de enerxía do chip e usa técnicas estatísticas para facer enxeñaría inversa dos datos a medida que o chip calcula. Nun ataque de sondaxe de bus, o hacker pode roubar anacos do modelo e do conxunto de datos probando a comunicación entre o acelerador e a memoria fóra do chip.
A IMC dixital acelera a computación ao realizar millóns de operacións á vez, pero esta complexidade dificulta a prevención de ataques mediante as medidas de seguridade tradicionais, di Ashok.
Ela e os seus colaboradores adoptaron un enfoque triple para bloquear os ataques de canles laterais e de sondaxe de autobús.
En primeiro lugar, empregaron unha medida de seguridade onde os datos do IMC se dividen en pezas aleatorias. Por exemplo, un bit cero pode dividirse en tres bits que aínda son igual a cero despois dunha operación lóxica. O IMC nunca calcula con todas as pezas na mesma operación, polo que un ataque de canle lateral nunca podería reconstruír a información real.
Pero para que esta técnica funcione, hai que engadir bits aleatorios para dividir os datos. Dado que o IMC dixital realiza millóns de operacións á vez, xerar tantos bits aleatorios implicaría demasiada computación. Para o seu chip, os investigadores atoparon unha forma de simplificar os cálculos, facilitando a división de datos de forma efectiva ao tempo que se elimina a necesidade de bits aleatorios.
En segundo lugar, evitaron ataques de sondaxe de bus mediante un cifrado lixeiro que cifra o modelo almacenado na memoria fóra do chip. Este cifrado lixeiro só require cálculos sinxelos. Ademais, só descifraron as pezas do modelo almacenadas no chip cando fose necesario.
En terceiro lugar, para mellorar a seguridade, xeraron a clave que descifra o cifrado directamente no chip, en lugar de movelo cara atrás e cara atrás co modelo. Xeraron esta clave única a partir de variacións aleatorias no chip que se introducen durante a fabricación, utilizando o que se coñece como función fisicamente non clonable.
"Quizais un fío vai ser un pouco máis groso que outro. Podemos usar estas variacións para sacar ceros e uns dun circuíto. Para cada chip, podemos obter unha clave aleatoria que debería ser consistente porque estas propiedades aleatorias non deberían cambiar significativamente co paso do tempo", explica Ashok.
Reutilizaron as celas de memoria do chip, aproveitando as imperfeccións destas celas para xerar a chave. Isto require menos cálculo que xerar unha clave desde cero.
"Como a seguridade converteuse nun problema crítico no deseño de dispositivos de borde, é necesario desenvolver unha pila de sistema completa centrada no funcionamento seguro. Este traballo céntrase na seguridade para as cargas de traballo de aprendizaxe automática e describe un procesador dixital que utiliza a optimización transversal. Incorpora acceso a datos cifrados entre a memoria e o procesador, enfoques para previr ataques de canle lateral mediante a aleatorización e aproveitando a variabilidade para xerar códigos únicos. Estes deseños van ser críticos nos futuros dispositivos móbiles ", di Chandrakasan.
Probas de seguridade
Para probar o seu chip, os investigadores asumiron o papel de piratas informáticos e intentaron roubar información secreta mediante ataques de canle lateral e sondaxe de autobús.
Mesmo despois de facer millóns de intentos, non puideron reconstruír ningunha información real nin extraer pezas do modelo ou conxunto de datos. O cifrado tamén permaneceu irrompible. Pola contra, só necesitou unhas 5,000 mostras para roubar información dun chip sen protección.
A adición de seguridade reduciu a eficiencia enerxética do acelerador e tamén requiriu unha maior área de chip, o que o faría máis caro de fabricar.
O equipo planea explorar métodos que poidan reducir o consumo de enerxía e o tamaño do seu chip no futuro, o que facilitaría a súa implementación a escala.
"Como se fai demasiado caro, faise máis difícil convencer a alguén de que a seguridade é fundamental. Os traballos futuros poderían explorar estas compensacións. Quizais poderiamos facelo un pouco menos seguro, pero máis fácil de implementar e menos custoso", di Ashok.
Escrito por Adam Zewe
