研究者らは、電力を大量に消費する AI モデル向けに、この小さなチップを使用して 2 つの一般的な攻撃に対する保護を提供するセキュリティ ソリューションを開発しました。
健康監視アプリ スマートフォンだけを使用して、人々が慢性疾患を管理したり、フィットネスの目標を順調に達成したりできるようにすることができます。ただし、これらのアプリは、アプリを動かす膨大な機械学習モデルをスマートフォンと中央メモリ サーバーの間で往復させる必要があるため、速度が遅く、エネルギー効率が低い場合があります。
エンジニアは多くの場合、大量のデータを前後に移動する必要性を減らすハードウェアを使用して作業を高速化します。これらの機械学習アクセラレータは計算を合理化できますが、機密情報を盗む攻撃者の攻撃を受けやすいです。
この脆弱性を軽減するために、MIT と MIT-IBM Watson AI Lab の研究者は、最も一般的な 2 種類の攻撃に耐性のある機械学習アクセラレータを作成しました。同社のチップは、ユーザーの健康記録、財務情報、その他の機密データを非公開に保ちながら、巨大な AI モデルをデバイス上で効率的に実行できるようにします。
チームは、デバイスの速度をわずかに低下させるだけで強力なセキュリティを可能にするいくつかの最適化を開発しました。さらに、追加されたセキュリティは計算の精度に影響を与えません。この機械学習アクセラレータは、拡張現実や仮想現実、自動運転などの要求の厳しい AI アプリケーションに特に有益となる可能性があります。
このチップを実装するとデバイスの価格が若干高くなり、エネルギー効率が低くなりますが、セキュリティのために支払う価値のある代償である場合もあると、筆頭著者であり、MIT の電気工学およびコンピュータ サイエンス (EECS) 大学院生であるマイトレーイ アショク氏は述べています。
「セキュリティを根本から念頭に置いて設計することが重要です。システムの設計後に最小限のセキュリティを追加しようとすると、法外な費用がかかります。私たちは設計段階でこれらのトレードオフの多くを効果的にバランスさせることができました」と Ashok 氏は言います。
彼女の共著者には、EECS 大学院生の Saurav Maji が含まれます。 MIT-IBM Watson AI LabのXin Zhang氏とJohn Cohn氏。そして主著者であるアナンサ・チャンドラカサン氏は、MIT のイノベーションおよび戦略最高責任者、工学部学部長、EECS のヴァネヴァー・ブッシュ教授です。この研究は、IEEE Custom Integrated Circuits Conference で発表される予定です。
サイドチャネル感受性
研究者らは、デジタル インメモリ コンピューティングと呼ばれる一種の機械学習アクセラレータをターゲットにしました。デジタル IMC チップはデバイスのメモリ内で計算を実行します。ここには、機械学習モデルの一部が中央サーバーから移動された後に保存されます。
モデル全体は大きすぎてデバイスに保存できませんが、IMC チップはモデルをいくつかの部分に分割し、それらの部分を可能な限り再利用することで、前後に移動する必要があるデータの量を削減します。
しかし、IMC チップはハッカーの攻撃を受けやすい可能性があります。サイドチャネル攻撃では、ハッカーはチップの電力消費を監視し、チップが計算する際に統計的手法を使用してデータをリバース エンジニアリングします。バスプローブ攻撃では、ハッカーはアクセラレータとオフチップ メモリ間の通信をプローブすることにより、モデルとデータセットのビットを盗むことができます。
デジタル IMC は一度に何百万もの演算を実行することで計算を高速化しますが、この複雑さにより従来のセキュリティ対策では攻撃を防ぐことが困難になるとアショク氏は言います。
彼女とその協力者は、サイドチャネル攻撃とバスプローブ攻撃をブロックするために 3 つの側面からのアプローチを採用しました。
まず、IMC 内のデータをランダムな部分に分割するセキュリティ対策を採用しました。たとえば、ビット 0 が 3 つのビットに分割され、論理演算後も依然として 0 に等しい場合があります。 IMC は同じ操作ですべての部分を計算することは決してないので、サイドチャネル攻撃によって実際の情報を再構築することはできません。
ただし、この手法が機能するには、データを分割するためにランダムなビットを追加する必要があります。デジタル IMC は一度に何百万もの操作を実行するため、非常に多くのランダム ビットを生成すると大量のコンピューティングが必要になります。研究者らは、チップに関して、計算を簡素化し、ランダム ビットの必要性を排除しながら効果的にデータを分割することを容易にする方法を発見しました。
2 番目に、オフチップ メモリに保存されたモデルを暗号化する軽量暗号を使用して、バスプローブ攻撃を防止しました。この軽量な暗号には、単純な計算のみが必要です。さらに、必要な場合にのみ、チップに保存されているモデルの部分を復号化しました。
3 番目に、セキュリティを向上させるために、暗号を解読するキーをモデルとの間で移動させるのではなく、チップ上で直接生成しました。彼らは、いわゆる物理的に複製できない機能を使用して、製造中に導入されるチップ内のランダムな変動からこの一意のキーを生成しました。
「もしかしたら、あるワイヤーが他のワイヤーよりも少し太くなるかもしれません。これらのバリエーションを使用して、回路から 0 と 1 を取得できます。これらのランダムな特性は時間の経過とともに大きく変化するべきではないため、チップごとに一貫性のあるランダムなキーを取得できます」と Ashok 氏は説明します。
彼らはチップ上のメモリセルを再利用し、これらのセルの不完全性を利用してキーを生成しました。これにより、キーを最初から生成するよりも必要な計算が少なくなります。
「エッジデバイスの設計においてセキュリティが重要な問題となっているため、安全な運用に重点を置いた完全なシステムスタックを開発する必要があります。この研究では、機械学習ワークロードのセキュリティに焦点を当て、横断的な最適化を使用するデジタル プロセッサについて説明します。これには、メモリとプロセッサ間の暗号化されたデータ アクセス、ランダム化を使用したサイドチャネル攻撃の防止、および固有のコードを生成するための変動性の利用が組み込まれています。このようなデザインは、将来のモバイルデバイスでは重要になるでしょう」とチャンドラカサン氏は言います。
安全性試験
チップをテストするために、研究者らはハッカーの役割を引き受け、サイドチャネル攻撃とバスプローブ攻撃を使用して機密情報を盗もうとしました。
何百万回もの試行を行ったにもかかわらず、実際の情報を再構築したり、モデルやデータセットの一部を抽出したりすることはできませんでした。暗号も解読不可能でした。対照的に、保護されていないチップから情報を盗むのに必要なサンプルはわずか約 5,000 件でした。
セキュリティを追加すると、アクセラレータのエネルギー効率が低下し、より大きなチップ面積が必要になるため、製造コストも高くなります。
チームは将来的に、エネルギー消費量とチップのサイズを削減し、大規模な実装を容易にする方法を検討する予定です。
「高価になりすぎると、セキュリティが重要であることを誰かに納得させるのが難しくなります。将来の研究では、これらのトレードオフを調査する可能性があります。もしかしたら、安全性は少し劣りますが、実装が簡単で、コストも安くなるかもしれません」と Ashok 氏は言います。
アダム ゼヴェ著