I ricercatori hanno sviluppato una soluzione di sicurezza con questo minuscolo chip per modelli di intelligenza artificiale assetati di potere che offre protezione contro due attacchi comuni.
App per il monitoraggio della salute può aiutare le persone a gestire le malattie croniche o a rimanere in linea con gli obiettivi di fitness, utilizzando nient'altro che uno smartphone. Tuttavia, queste app possono essere lente e inefficienti dal punto di vista energetico perché i vasti modelli di apprendimento automatico che le alimentano devono essere spostati tra uno smartphone e un server di memoria centrale.
Gli ingegneri spesso accelerano le operazioni utilizzando hardware che riduce la necessità di spostare una grande quantità di dati avanti e indietro. Sebbene questi acceleratori di apprendimento automatico possano semplificare i calcoli, sono vulnerabili agli aggressori che possono rubare informazioni segrete.
Per ridurre questa vulnerabilità, i ricercatori del MIT e del MIT-IBM Watson AI Lab hanno creato un acceleratore di apprendimento automatico resistente ai due tipi di attacchi più comuni. Il loro chip può mantenere private le cartelle cliniche, le informazioni finanziarie o altri dati sensibili di un utente, consentendo al tempo stesso l’esecuzione efficiente di enormi modelli di intelligenza artificiale sui dispositivi.
Il team ha sviluppato diverse ottimizzazioni che garantiscono una sicurezza elevata rallentando solo leggermente il dispositivo. Inoltre, la maggiore sicurezza non influisce sulla precisione dei calcoli. Questo acceleratore di apprendimento automatico potrebbe essere particolarmente utile per applicazioni IA esigenti come la realtà aumentata e virtuale o la guida autonoma.
Anche se l'implementazione del chip renderebbe il dispositivo leggermente più costoso e meno efficiente dal punto di vista energetico, a volte si tratta di un prezzo utile da pagare per la sicurezza, afferma l'autore principale Maitreyi Ashok, uno studente laureato in ingegneria elettrica e informatica (EECS) al MIT.
“È importante progettare pensando alla sicurezza fin dalle fondamenta. Se si tenta di aggiungere anche una minima quantità di sicurezza dopo che un sistema è stato progettato, il costo è proibitivo. Siamo riusciti a bilanciare efficacemente molti di questi compromessi durante la fase di progettazione”, afferma Ashok.
I suoi coautori includono Saurav Maji, uno studente laureato EECS; Xin Zhang e John Cohn del Watson AI Lab del MIT-IBM; e l'autore senior Anantha Chandrakasan, responsabile dell'innovazione e della strategia del MIT, preside della Facoltà di Ingegneria e Vannevar Bush Professore dell'EECS. La ricerca sarà presentata alla IEEE Custom Integrated Circuits Conference.
Suscettibilità del canale laterale
I ricercatori hanno preso di mira un tipo di acceleratore di apprendimento automatico chiamato calcolo digitale in-memory. Un chip IMC digitale esegue calcoli all'interno della memoria di un dispositivo, dove vengono archiviati pezzi di un modello di apprendimento automatico dopo essere stati spostati da un server centrale.
L'intero modello è troppo grande per essere archiviato sul dispositivo, ma suddividendolo in pezzi e riutilizzandoli il più possibile, i chip IMC riducono la quantità di dati che devono essere spostati avanti e indietro.
Ma i chip IMC possono essere vulnerabili agli hacker. In un attacco a canale laterale, un hacker monitora il consumo energetico del chip e utilizza tecniche statistiche per decodificare i dati mentre il chip esegue i calcoli. In un attacco di tipo bus-probing, l'hacker può rubare parti del modello e del set di dati sondando la comunicazione tra l'acceleratore e la memoria esterna al chip.
L’IMC digitale accelera il calcolo eseguendo milioni di operazioni contemporaneamente, ma questa complessità rende difficile prevenire gli attacchi utilizzando le misure di sicurezza tradizionali, afferma Ashok.
Lei e i suoi collaboratori hanno adottato un triplice approccio per bloccare gli attacchi sui canali laterali e sul bus.
Innanzitutto, hanno utilizzato una misura di sicurezza in cui i dati nell'IMC vengono suddivisi in parti casuali. Ad esempio, un bit zero potrebbe essere suddiviso in tre bit che sono comunque uguali a zero dopo un'operazione logica. L'IMC non calcola mai tutte le parti della stessa operazione, quindi un attacco dal canale laterale non potrebbe mai ricostruire le informazioni reali.
Ma affinché questa tecnica funzioni, è necessario aggiungere bit casuali per suddividere i dati. Poiché l'IMC digitale esegue milioni di operazioni contemporaneamente, generare così tanti bit casuali comporterebbe un'elaborazione eccessiva. Per il loro chip, i ricercatori hanno trovato un modo per semplificare i calcoli, rendendo più semplice la suddivisione efficace dei dati ed eliminando la necessità di bit casuali.
In secondo luogo, hanno impedito attacchi di tipo bus-probing utilizzando un codice leggero che crittografa il modello archiviato nella memoria off-chip. Questo codice leggero richiede solo calcoli semplici. Inoltre, hanno decodificato i pezzi del modello memorizzati sul chip solo quando necessario.
In terzo luogo, per migliorare la sicurezza, hanno generato la chiave che decripta il codice direttamente sul chip, invece di spostarlo avanti e indietro con il modello. Hanno generato questa chiave univoca da variazioni casuali nel chip introdotte durante la produzione, utilizzando quella che è nota come una funzione fisicamente non clonabile.
“Forse un filo sarà un po’ più spesso di un altro. Possiamo usare queste variazioni per estrarre zeri e uno da un circuito. Per ogni chip possiamo ottenere una chiave casuale che dovrebbe essere coerente perché queste proprietà casuali non dovrebbero cambiare in modo significativo nel tempo», spiega Ashok.
Hanno riutilizzato le celle di memoria sul chip, sfruttando le imperfezioni di queste celle per generare la chiave. Ciò richiede meno calcoli rispetto alla generazione di una chiave da zero.
“Poiché la sicurezza è diventata una questione critica nella progettazione dei dispositivi edge, è necessario sviluppare uno stack di sistema completo incentrato sulla sicurezza del funzionamento. Questo lavoro si concentra sulla sicurezza per i carichi di lavoro di apprendimento automatico e descrive un processore digitale che utilizza l'ottimizzazione trasversale. Incorpora l'accesso crittografato ai dati tra memoria e processore, approcci per prevenire attacchi dal canale laterale utilizzando la randomizzazione e sfruttamento della variabilità per generare codici univoci. Tali progetti saranno fondamentali nei futuri dispositivi mobili”, afferma Chandrakasan.
Test di sicurezza
Per testare il loro chip, i ricercatori hanno assunto il ruolo di hacker e hanno cercato di rubare informazioni segrete utilizzando attacchi side-channel e bus-probing.
Anche dopo aver fatto milioni di tentativi, non sono riusciti a ricostruire alcuna informazione reale o a estrarre parti del modello o del set di dati. Anche il codice è rimasto indistruttibile. Al contrario, sono bastati circa 5,000 campioni per rubare informazioni da un chip non protetto.
L'aggiunta della sicurezza ha ridotto l'efficienza energetica dell'acceleratore e ha richiesto anche un'area del chip più ampia, che ne avrebbe reso più costosa la fabbricazione.
Il team sta pianificando di esplorare metodi che potrebbero ridurre il consumo di energia e le dimensioni del chip in futuro, il che ne renderebbe più semplice l’implementazione su larga scala.
“Man mano che diventa troppo costoso, diventa più difficile convincere qualcuno che la sicurezza è fondamentale. Il lavoro futuro potrebbe esplorare questi compromessi. Forse potremmo renderlo un po’ meno sicuro ma più facile da implementare e meno costoso”, afferma Ashok.
Scritto da Adam Zewe
