A kutatók ezzel az apró chippel biztonsági megoldást fejlesztettek ki az energiaéhes AI-modellek számára, amely védelmet nyújt két gyakori támadás ellen.
Egészségfigyelő alkalmazások segíthet az embereknek a krónikus betegségek kezelésében vagy a fitneszcélok követésében, mindössze egy okostelefon használatával. Ezek az alkalmazások azonban lassúak és energiatakarékosak lehetnek, mivel az őket működtető hatalmas gépi tanulási modelleket egy okostelefon és egy központi memóriaszerver között kell mozgatni.
A mérnökök gyakran felgyorsítják a dolgokat olyan hardver használatával, amely csökkenti a sok adat oda-vissza mozgatásának szükségességét. Noha ezek a gépi tanulási gyorsítók leegyszerűsíthetik a számítást, ki vannak téve a támadóknak, akik titkos információkat lophatnak el.
A sérülékenység csökkentése érdekében az MIT és a MIT-IBM Watson AI Lab kutatói olyan gépi tanulási gyorsítót készítettek, amely ellenáll a két leggyakoribb támadástípusnak. Chipük megőrizheti a felhasználó egészségügyi nyilvántartásait, pénzügyi adatait vagy egyéb érzékeny adatait, miközben lehetővé teszi a hatalmas mesterséges intelligencia modellek hatékony futtatását az eszközökön.
A csapat számos olyan optimalizálást fejlesztett ki, amelyek erős biztonságot tesznek lehetővé, miközben csak kis mértékben lassítják az eszközt. Ezenkívül a megnövelt biztonság nem befolyásolja a számítások pontosságát. Ez a gépi tanulási gyorsító különösen előnyös lehet az olyan igényes AI-alkalmazásoknál, mint a kiterjesztett és a virtuális valóság vagy az autonóm vezetés.
Bár a chip bevezetése kissé drágábbá és kevésbé energiahatékonyabbá tenné az eszközt, ez néha megéri a biztonságért fizetni – mondja Maitreyi Ashok, a vezető szerző, az MIT elektromérnöki és számítástechnikai (EECS) végzős hallgatója.
„Fontos, hogy az alapoktól kezdve a biztonságot szem előtt tartva tervezzünk. Ha egy rendszer megtervezése után csak minimális mértékű biztonságot próbál hozzáadni, az megfizethetetlenül drága. Sok ilyen kompromisszumot hatékonyan tudtunk egyensúlyozni a tervezési szakaszban” – mondja Ashok.
Társszerzői közé tartozik Saurav Maji, az EECS végzős hallgatója; Xin Zhang és John Cohn, az MIT-IBM Watson AI Lab munkatársai; valamint Anantha Chandrakasan vezető szerző, az MIT innovációs és stratégiai igazgatója, a School of Engineering dékánja és Vannevar Bush, az EECS professzora. A kutatást az IEEE Custom Integrated Circuits konferencián mutatják be.
Oldalcsatorna érzékenység
A kutatók egy olyan típusú gépi tanulási gyorsítót céloztak meg, amelyet digitális memórián belüli számításnak neveznek. A digitális IMC chip az eszköz memóriájában hajt végre számításokat, ahol a gépi tanulási modell darabjait tárolják, miután áthelyezték őket egy központi szerverről.
A teljes modell túl nagy ahhoz, hogy az eszközön tároljuk, de azáltal, hogy darabokra bontjuk, és amennyire csak lehetséges, újrafelhasználjuk, az IMC chipek csökkentik az oda-vissza mozgatandó adatmennyiséget.
Az IMC chipek azonban érzékenyek lehetnek a hackerekre. Oldalcsatornás támadás esetén a hacker figyeli a chip energiafogyasztását, és statisztikai technikákat használ az adatok visszafejtésére a chip számításai során. Egy busz-próbáló támadás során a hacker ellophatja a modell és az adatkészlet bitjeit a gyorsító és a chipen kívüli memória közötti kommunikáció vizsgálatával.
A digitális IMC felgyorsítja a számítást azáltal, hogy több millió műveletet hajt végre egyszerre, de ez a bonyolultság megnehezíti a támadások megelőzését hagyományos biztonsági intézkedésekkel – mondja Ashok.
Ő és munkatársai három megközelítést alkalmaztak az oldalsó csatornák és a buszokat vizsgáló támadások blokkolására.
Először egy biztonsági intézkedést alkalmaztak, ahol az IMC-ben lévő adatokat véletlenszerű darabokra osztják. Például egy nulla bitet fel lehet osztani három bitre, amelyek egy logikai művelet után továbbra is nulla. Az IMC soha nem számol az összes darabbal ugyanabban a műveletben, így az oldalcsatornás támadás soha nem tudja rekonstruálni a valódi információkat.
De ahhoz, hogy ez a technika működjön, véletlenszerű biteket kell hozzáadni az adatok felosztásához. Mivel a digitális IMC egyszerre több millió műveletet hajt végre, ennyi véletlenszerű bit generálása túl sok számítási munkát igényelne. A kutatók a chipjük esetében megtalálták a módszert a számítások egyszerűsítésére, megkönnyítve az adatok hatékony felosztását, miközben nincs szükség véletlenszerű bitekre.
Másodszor, megakadályozták a busz-próbáló támadásokat egy könnyű titkosítással, amely titkosítja a chipen kívüli memóriában tárolt modellt. Ez a könnyű rejtjel csak egyszerű számításokat igényel. Ráadásul csak szükség esetén fejtették vissza a modell chipen tárolt darabjait.
Harmadszor, a biztonság javítása érdekében létrehozták azt a kulcsot, amely dekódolja a titkosítást közvetlenül a chipen, ahelyett, hogy ide-oda mozgatták volna a modellel együtt. Ezt az egyedi kulcsot a chip véletlenszerű variációiból hozták létre, amelyeket a gyártás során vezettek be, az úgynevezett fizikailag nem klónozható függvény segítségével.
„Talán az egyik vezeték vastagabb lesz, mint a másik. Ezeket a variációkat arra használhatjuk, hogy nullákat és egyeseket vonjunk ki az áramkörből. Minden chiphez kaphatunk egy véletlenszerű kulcsot, amelynek konzisztensnek kell lennie, mivel ezek a véletlenszerű tulajdonságok nem változhatnak jelentősen az idő múlásával” – magyarázza Ashok.
Újra felhasználták a chip memóriacelláit, kihasználva a cellák tökéletlenségeit a kulcs létrehozásához. Ez kevesebb számítást igényel, mint egy kulcs előállítása a semmiből.
„Mivel a biztonság kritikus kérdéssé vált az éleszközök tervezése során, szükség van egy teljes rendszercsomag kidolgozására, amely a biztonságos működésre összpontosít. Ez a munka a gépi tanulási munkaterhelések biztonságára összpontosít, és egy olyan digitális processzort ír le, amely átfogó optimalizálást használ. Tartalmazza a memória és a processzor közötti titkosított adatelérést, az oldalsó csatornás támadások véletlenszerűsítéssel történő megelőzését és a változékonyság kihasználását egyedi kódok generálására. Az ilyen kialakítások kritikusak lesznek a jövőbeni mobileszközökben” – mondja Chandrakasan.
Biztonsági tesztelés
A chip teszteléséhez a kutatók hackerek szerepét vállalták, és oldalcsatornás és buszszondázó támadásokkal próbáltak titkos információkat ellopni.
Még milliónyi próbálkozás után sem tudtak valódi információt rekonstruálni, illetve a modell vagy adatkészlet darabjait kivonni. A rejtjel is törhetetlen maradt. Ezzel szemben mindössze 5,000 mintára volt szükség ahhoz, hogy információkat lopjanak el egy védetlen chipről.
A biztonsági kiegészítés valóban csökkentette a gyorsító energiahatékonyságát, és nagyobb chipfelületet is igényelt, ami megdrágítja a gyártást.
A csapat olyan módszerek feltárását tervezi, amelyek csökkenthetik chipjük energiafogyasztását és méretét a jövőben, ami megkönnyítené a méretarányos megvalósítást.
„Ahogy túl drágává válik, egyre nehezebb meggyőzni valakit arról, hogy a biztonság kritikus. A jövőbeli munka feltárhatja ezeket a kompromisszumokat. Talán egy kicsit kevésbé biztonságossá, de könnyebben megvalósíthatóvá és olcsóbbá tehetjük” – mondja Ashok.
Írta: Adam Zewe