Para peneliti telah mengembangkan solusi keamanan dengan chip kecil ini untuk model AI yang haus daya dan menawarkan perlindungan terhadap dua serangan umum.
Aplikasi pemantauan kesehatan dapat membantu orang mengelola penyakit kronis atau tetap mencapai target kebugaran hanya dengan menggunakan ponsel pintar. Namun, aplikasi ini bisa jadi lambat dan tidak hemat energi karena model pembelajaran mesin yang sangat besar yang mendukungnya harus dipindahkan antara ponsel cerdas dan server memori pusat.
Insinyur sering kali mempercepat pekerjaan dengan menggunakan perangkat keras yang mengurangi kebutuhan untuk memindahkan begitu banyak data bolak-balik. Meskipun akselerator pembelajaran mesin ini dapat menyederhanakan komputasi, mereka rentan terhadap penyerang yang dapat mencuri informasi rahasia.
Untuk mengurangi kerentanan ini, para peneliti dari MIT dan MIT-IBM Watson AI Lab menciptakan akselerator pembelajaran mesin yang tahan terhadap dua jenis serangan paling umum. Chip mereka dapat menjaga kerahasiaan catatan kesehatan pengguna, informasi keuangan, atau data sensitif lainnya sambil tetap memungkinkan model AI besar berjalan secara efisien di perangkat.
Tim mengembangkan beberapa pengoptimalan yang memungkinkan keamanan yang kuat namun hanya sedikit memperlambat perangkat. Selain itu, keamanan tambahan tidak mempengaruhi keakuratan perhitungan. Akselerator pembelajaran mesin ini bisa sangat bermanfaat untuk aplikasi AI yang menuntut seperti augmented reality dan virtual reality atau mengemudi otonom.
Meskipun penerapan chip akan membuat perangkat menjadi sedikit lebih mahal dan kurang hemat energi, hal ini terkadang merupakan harga yang harus dibayar demi keamanan, kata penulis utama Maitreyi Ashok, seorang mahasiswa pascasarjana teknik elektro dan ilmu komputer (EECS) di MIT.
“Penting untuk merancang dengan mempertimbangkan keamanan dari awal. Jika Anda mencoba menambahkan keamanan minimal setelah sistem dirancang, biayanya akan sangat mahal. Kami mampu secara efektif menyeimbangkan banyak pengorbanan ini selama tahap desain,” kata Ashok.
Rekan penulisnya termasuk Saurav Maji, seorang mahasiswa pascasarjana EECS; Xin Zhang dan John Cohn dari MIT-IBM Watson AI Lab; dan penulis senior Anantha Chandrakasan, kepala inovasi dan strategi MIT, dekan Fakultas Teknik, dan Profesor EECS di Vannevar Bush. Penelitian ini akan dipresentasikan pada Konferensi Sirkuit Terpadu Khusus IEEE.
Kerentanan saluran samping
Para peneliti menargetkan jenis akselerator pembelajaran mesin yang disebut komputasi dalam memori digital. Chip IMC digital melakukan komputasi di dalam memori perangkat, tempat potongan model pembelajaran mesin disimpan setelah dipindahkan dari server pusat.
Keseluruhan model terlalu besar untuk disimpan di perangkat, namun dengan memecahnya menjadi beberapa bagian dan menggunakan kembali bagian tersebut sebanyak mungkin, chip IMC mengurangi jumlah data yang harus dipindahkan bolak-balik.
Namun chip IMC rentan terhadap peretas. Dalam serangan saluran samping, peretas memantau konsumsi daya chip dan menggunakan teknik statistik untuk merekayasa balik data saat chip melakukan komputasi. Dalam serangan bus-probing, peretas dapat mencuri potongan model dan kumpulan data dengan menyelidiki komunikasi antara akselerator dan memori di luar chip.
IMC digital mempercepat komputasi dengan melakukan jutaan operasi sekaligus, namun kompleksitas ini membuat pencegahan serangan menggunakan langkah-langkah keamanan tradisional menjadi sulit, kata Ashok.
Dia dan kolaboratornya mengambil pendekatan tiga arah untuk memblokir serangan saluran samping dan serangan bus.
Pertama, mereka menggunakan langkah keamanan di mana data di IMC dipecah menjadi beberapa bagian secara acak. Misalnya, bit nol mungkin dipecah menjadi tiga bit yang masih sama dengan nol setelah operasi logika. IMC tidak pernah menghitung semua bagian dalam operasi yang sama, sehingga serangan saluran samping tidak akan pernah dapat merekonstruksi informasi sebenarnya.
Namun agar teknik ini berhasil, bit acak harus ditambahkan untuk memisahkan data. Karena IMC digital melakukan jutaan operasi sekaligus, menghasilkan begitu banyak bit acak akan memerlukan terlalu banyak komputasi. Untuk chip mereka, para peneliti menemukan cara untuk menyederhanakan komputasi, membuatnya lebih mudah untuk membagi data secara efektif sekaligus menghilangkan kebutuhan akan bit acak.
Kedua, mereka mencegah serangan bus-probing menggunakan cipher ringan yang mengenkripsi model yang disimpan dalam memori off-chip. Sandi ringan ini hanya memerlukan perhitungan sederhana. Selain itu, mereka hanya mendekripsi bagian model yang disimpan di chip bila diperlukan.
Ketiga, untuk meningkatkan keamanan, mereka menghasilkan kunci yang mendekripsi sandi langsung pada chip, daripada memindahkannya bolak-balik dengan model. Mereka menghasilkan kunci unik ini dari variasi acak dalam chip yang diperkenalkan selama produksi, menggunakan apa yang dikenal sebagai fungsi yang secara fisik tidak dapat dikloning.
“Mungkin satu kabel akan menjadi sedikit lebih tebal dari kabel lainnya. Kita dapat menggunakan variasi ini untuk mengeluarkan angka nol dan satu dari suatu rangkaian. Untuk setiap chip, kita bisa mendapatkan kunci acak yang harus konsisten karena properti acak ini tidak akan berubah secara signifikan seiring waktu,” jelas Ashok.
Mereka menggunakan kembali sel memori pada chip, memanfaatkan ketidaksempurnaan pada sel tersebut untuk menghasilkan kunci. Hal ini memerlukan komputasi yang lebih sedikit dibandingkan membuat kunci dari awal.
“Karena keamanan telah menjadi isu penting dalam desain perangkat edge, terdapat kebutuhan untuk mengembangkan rangkaian sistem lengkap yang berfokus pada pengoperasian yang aman. Karya ini berfokus pada keamanan untuk beban kerja pembelajaran mesin dan menjelaskan prosesor digital yang menggunakan pengoptimalan lintas sektoral. Ini menggabungkan akses data terenkripsi antara memori dan prosesor, pendekatan untuk mencegah serangan saluran samping menggunakan pengacakan, dan memanfaatkan variabilitas untuk menghasilkan kode unik. Desain seperti itu akan menjadi sangat penting dalam perangkat seluler masa depan,” kata Chandrakasan.
Pengujian keamanan
Untuk menguji chip mereka, para peneliti mengambil peran sebagai peretas dan mencoba mencuri informasi rahasia menggunakan serangan saluran samping dan bus-probing.
Bahkan setelah melakukan jutaan upaya, mereka tidak dapat merekonstruksi informasi nyata atau mengekstraksi bagian dari model atau kumpulan data. Sandinya juga tetap tidak bisa dipecahkan. Sebaliknya, hanya dibutuhkan sekitar 5,000 sampel untuk mencuri informasi dari chip yang tidak terlindungi.
Penambahan keamanan memang mengurangi efisiensi energi akselerator, dan juga memerlukan area chip yang lebih besar, sehingga pembuatannya akan lebih mahal.
Tim ini berencana mengeksplorasi metode yang dapat mengurangi konsumsi energi dan ukuran chip mereka di masa depan, sehingga akan lebih mudah diterapkan dalam skala besar.
“Karena biayanya terlalu mahal, semakin sulit meyakinkan seseorang bahwa keamanan itu penting. Penelitian di masa depan dapat mengeksplorasi dampak-dampak ini. Mungkin kita bisa membuatnya sedikit kurang aman namun lebih mudah diterapkan dan lebih murah,” kata Ashok.
Ditulis oleh Adam Zewe
