Istraživači su razvili sigurnosno rješenje s ovim malenim čipom za AI modele gladne energije koji nudi zaštitu od dva uobičajena napada.
Aplikacije za praćenje zdravlja može pomoći ljudima u upravljanju kroničnim bolestima ili ostati na pravom putu s fitness ciljevima, koristeći samo pametni telefon. Međutim, te aplikacije mogu biti spore i energetski neučinkovite jer se ogromni modeli strojnog učenja koji ih pokreću moraju prebacivati između pametnog telefona i središnjeg memorijskog poslužitelja.
Inženjeri često ubrzavaju stvari pomoću hardvera koji smanjuje potrebu za premještanjem tolike količine podataka naprijed-natrag. Iako ovi akceleratori strojnog učenja mogu pojednostaviti računanje, podložni su napadačima koji mogu ukrasti tajne informacije.
Kako bi smanjili ovu ranjivost, istraživači s MIT-a i MIT-IBM Watson AI Lab stvorili su akcelerator strojnog učenja koji je otporan na dvije najčešće vrste napada. Njihov čip može čuvati korisničku zdravstvenu evidenciju, financijske informacije ili druge osjetljive podatke privatnima, a istovremeno omogućuje učinkovit rad ogromnih AI modela na uređajima.
Tim je razvio nekoliko optimizacija koje omogućuju snažnu sigurnost dok samo malo usporavaju uređaj. Štoviše, dodatna sigurnost ne utječe na točnost izračuna. Ovaj akcelerator strojnog učenja mogao bi biti osobito koristan za zahtjevne AI aplikacije poput proširene i virtualne stvarnosti ili autonomne vožnje.
Iako bi implementacija čipa učinila uređaj nešto skupljim i energetski manje učinkovitim, to je ponekad isplativa cijena koju treba platiti za sigurnost, kaže glavni autor Maitreyi Ashok, student elektrotehnike i računarstva (EECS) na MIT-u.
„Važno je dizajnirati imajući na umu sigurnost od temelja. Ako pokušavate dodati čak i minimalnu količinu sigurnosti nakon što je sustav dizajniran, to je preskupo. Uspjeli smo učinkovito uravnotežiti mnoge od tih kompromisa tijekom faze dizajna,” kaže Ashok.
Među njezinim koautorima su Saurav Maji, diplomirani student EECS-a; Xin Zhang i John Cohn iz MIT-IBM Watson AI Laba; i viša autorica Anantha Chandrakasan, glavna direktorica za inovacije i strategiju MIT-a, dekanica Tehničkog fakulteta i profesorica Vannevar Bush EECS-a. Istraživanje će biti predstavljeno na konferenciji IEEE Custom Integrated Circuits Conference.
Osjetljivost na bočne kanale
Istraživači su ciljali na vrstu akceleratora strojnog učenja koji se zove digitalno računanje u memoriji. Digitalni IMC čip izvodi izračune unutar memorije uređaja, gdje se dijelovi modela strojnog učenja pohranjuju nakon premještanja sa središnjeg poslužitelja.
Cijeli je model prevelik za pohranjivanje na uređaj, ali razbijanjem na dijelove i ponovnim korištenjem tih dijelova što je više moguće, IMC čipovi smanjuju količinu podataka koji se moraju premještati naprijed-natrag.
Ali IMC čipovi mogu biti osjetljivi na hakere. U napadu sa strane kanala, haker prati potrošnju energije čipa i koristi se statističkim tehnikama za obrnuti inženjering podataka dok čip računa. U napadu ispitivanjem sabirnice, haker može ukrasti dijelove modela i skupa podataka ispitivanjem komunikacije između akceleratora i memorije izvan čipa.
Digitalni IMC ubrzava računanje izvodeći milijune operacija odjednom, ali ova složenost otežava sprječavanje napada korištenjem tradicionalnih sigurnosnih mjera, kaže Ashok.
Ona i njezini suradnici zauzeli su trostruki pristup blokiranju napada s bočnih kanala i sondiranja sabirnice.
Prvo su primijenili sigurnosnu mjeru gdje se podaci u IMC-u dijele na nasumične dijelove. Na primjer, bit nula može se podijeliti u tri bita koji su i dalje jednaki nuli nakon logičke operacije. IMC nikada ne računa sa svim dijelovima u istoj operaciji, tako da napad sa strane kanala nikada ne bi mogao rekonstruirati prave informacije.
Ali da bi ova tehnika funkcionirala, moraju se dodati nasumični bitovi da bi se podaci podijelili. Budući da digitalni IMC izvodi milijune operacija odjednom, generiranje tolikog broja slučajnih bitova zahtijevalo bi previše računalstva. Za svoj čip, istraživači su pronašli način da pojednostave izračune, olakšavajući učinkovito dijeljenje podataka dok eliminiraju potrebu za nasumičnim bitovima.
Drugo, spriječili su napade sabirnice koristeći laganu šifru koja šifrira model pohranjen u memoriji izvan čipa. Ova lagana šifra zahtijeva samo jednostavne izračune. Osim toga, samo su dešifrirali dijelove modela pohranjene na čipu kada je to bilo potrebno.
Treće, kako bi poboljšali sigurnost, generirali su ključ koji dekriptira šifru izravno na čipu, umjesto da ga pomiču naprijed-natrag s modelom. Generirali su ovaj jedinstveni ključ iz nasumičnih varijacija u čipu koje su uvedene tijekom proizvodnje, koristeći ono što je poznato kao funkcija koja se fizički ne može klonirati.
“Možda će jedna žica biti malo deblja od druge. Možemo upotrijebiti ove varijacije da izbacimo nule i jedinice iz kruga. Za svaki čip možemo dobiti nasumični ključ koji bi trebao biti dosljedan jer se ta nasumična svojstva ne bi trebala značajno mijenjati tijekom vremena,” objašnjava Ashok.
Ponovno su upotrijebili memorijske ćelije na čipu, iskorištavajući nesavršenosti u tim ćelijama za generiranje ključa. Ovo zahtijeva manje računanja nego generiranje ključa od nule.
“Kako je sigurnost postala kritično pitanje u dizajnu rubnih uređaja, postoji potreba za razvojem cjelovitog skupa sustava koji se fokusira na siguran rad. Ovaj se rad usredotočuje na sigurnost za radna opterećenja strojnog učenja i opisuje digitalni procesor koji koristi međusektorsku optimizaciju. Uključuje kriptirani pristup podacima između memorije i procesora, pristupe sprječavanju napada na bočnim kanalima korištenjem randomizacije i iskorištavanje varijabilnosti za generiranje jedinstvenih kodova. Takvi će dizajni biti ključni u budućim mobilnim uređajima,” kaže Chandrakasan.
Ispitivanje sigurnosti
Kako bi testirali svoj čip, istraživači su preuzeli ulogu hakera i pokušali ukrasti tajne podatke korištenjem bočnih kanala i napada sabirnice.
Čak ni nakon milijuna pokušaja, nisu mogli rekonstruirati nijednu stvarnu informaciju ili izdvojiti dijelove modela ili skupa podataka. Šifra je također ostala neraskidiva. Nasuprot tome, bilo je potrebno samo oko 5,000 uzoraka da se ukradu informacije s nezaštićenog čipa.
Dodatak sigurnosti smanjio je energetsku učinkovitost akceleratora, a zahtijevao je i veću površinu čipa, što bi njegovu proizvodnju učinilo skupljim.
Tim planira istražiti metode koje bi mogle smanjiti potrošnju energije i veličinu njihovog čipa u budućnosti, što bi olakšalo njegovu implementaciju u velikom opsegu.
“Kako postaje preskupo, postaje teže uvjeriti nekoga da je sigurnost kritična. Budući rad mogao bi istražiti te kompromise. Možda bismo ga mogli učiniti malo manje sigurnim, ali lakšim za implementaciju i jeftinijim,” kaže Ashok.
Napisao Adam Zewe
