Tyrėjai sukūrė saugumo sprendimą su šiuo mažu lustu energijos ištroškusiems dirbtinio intelekto modeliams, užtikrinantį apsaugą nuo dviejų įprastų atakų.
Sveikatos stebėjimo programos gali padėti žmonėms susidoroti su lėtinėmis ligomis arba laikytis kūno rengybos tikslų, naudojant tik išmanųjį telefoną. Tačiau šios programos gali būti lėtos ir neefektyvios energijos, nes didžiuliai jas maitinantys mašininio mokymosi modeliai turi būti perjungti tarp išmaniojo telefono ir centrinio atminties serverio.
Inžinieriai dažnai pagreitina darbą naudodami aparatinę įrangą, kuri sumažina poreikį perkelti tiek daug duomenų pirmyn ir atgal. Nors šie mašininio mokymosi greitintuvai gali supaprastinti skaičiavimą, jie yra jautrūs užpuolikams, kurie gali pavogti slaptą informaciją.
Siekdami sumažinti šį pažeidžiamumą, mokslininkai iš MIT ir MIT-IBM Watson AI Lab sukūrė mašininio mokymosi greitintuvą, atsparų dviem dažniausiai pasitaikantiems atakų tipams. Jų lustas gali išlaikyti vartotojo sveikatos įrašus, finansinę informaciją ar kitus neskelbtinus duomenis privačius, o didžiuliai AI modeliai gali efektyviai veikti įrenginiuose.
Komanda sukūrė keletą optimizacijų, kurios užtikrina tvirtą saugumą ir tik šiek tiek sulėtino įrenginio veikimą. Be to, papildomas saugumas neturi įtakos skaičiavimų tikslumui. Šis mašininio mokymosi greitintuvas gali būti ypač naudingas sudėtingoms AI programoms, tokioms kaip papildyta ir virtuali realybė arba autonominis vairavimas.
Nors įdiegus lustą įrenginys taptų šiek tiek brangesnis ir mažiau efektyvus, o kartais tai verta mokėti už saugumą, sako pagrindinis autorius Maitreyi Ashok, MIT elektros inžinerijos ir kompiuterių mokslų (EECS) absolventas.
„Svarbu kurti nuo pat pradžių atsižvelgiant į saugumą. Jei sukūrę sistemą bandote pridėti net minimalų saugumo lygį, tai yra pernelyg brangu. Mes sugebėjome efektyviai subalansuoti daugelį šių kompromisų projektavimo etape“, - sako Ashok.
Tarp jos bendraautorių yra Sauravas Maji, EECS absolventas; Xin Zhang ir John Cohn iš MIT-IBM Watson AI Lab; ir vyresnioji autorė Anantha Chandrakasan, MIT vyriausioji inovacijų ir strategijos pareigūnė, Inžinerijos mokyklos dekanė ir Vannevar Bush EECS profesorė. Tyrimas bus pristatytas IEEE individualizuotų integrinių grandynų konferencijoje.
Šoninio kanalo jautrumas
Tyrėjai nusitaikė į mašininio mokymosi greitintuvo tipą, vadinamą skaitmeniniu atminties skaičiavimu. Skaitmeninis IMC lustas atlieka skaičiavimus įrenginio atmintyje, kur mašininio mokymosi modelio dalys saugomos po to, kai jas perkeliama iš centrinio serverio.
Visas modelis yra per didelis, kad jį būtų galima saugoti įrenginyje, tačiau suskaidžius jį į dalis ir kiek įmanoma pakartotinai naudojant IMC lustai sumažina duomenų, kuriuos reikia perkelti pirmyn ir atgal, kiekį.
Tačiau IMC lustai gali būti jautrūs įsilaužėliams. Šoninio kanalo atakos metu įsilaužėlis stebi lusto energijos suvartojimą ir naudoja statistinius metodus, kad apverstų duomenis, kai lustas skaičiuoja. Vykdydamas magistralės zondavimo ataką, įsilaužėlis gali pavogti modelio ir duomenų rinkinio bitus, tikrindamas ryšį tarp greitintuvo ir išorinės atminties.
Skaitmeninis IMC pagreitina skaičiavimą, vienu metu atlikdamas milijonus operacijų, tačiau dėl šio sudėtingumo sunku užkirsti kelią atakoms naudojant tradicines saugos priemones, sako Ashok.
Ji ir jos bendradarbiai, siekdami blokuoti šoninio kanalo ir autobusų zondavimo atakas, laikėsi trijų krypčių.
Pirma, jie panaudojo saugumo priemonę, kai IMC duomenys suskirstomi į atsitiktinius gabalus. Pavyzdžiui, nulio bitas gali būti padalytas į tris bitus, kurie po loginės operacijos vis tiek yra lygūs nuliui. IMC niekada neskaičiuoja su visomis dalimis atliekant tą pačią operaciją, todėl šoninio kanalo ataka niekada negalėjo atkurti tikrosios informacijos.
Tačiau norint, kad ši technika veiktų, reikia pridėti atsitiktinių bitų, kad būtų padalinti duomenys. Kadangi skaitmeninis IMC vienu metu atlieka milijonus operacijų, tiek daug atsitiktinių bitų generavimas pareikalautų per daug skaičiavimo. Dėl savo lusto mokslininkai rado būdą, kaip supaprastinti skaičiavimus, kad būtų lengviau efektyviai skaidyti duomenis, kartu pašalinant atsitiktinių bitų poreikį.
Antra, jie užkirto kelią magistralės zondavimo atakoms naudojant lengvą šifrą, kuris užšifruoja modelį, saugomą ne lusto atmintyje. Šis lengvas šifras reikalauja tik paprastų skaičiavimų. Be to, jie tik prireikus iššifruodavo lustoje saugomas modelio dalis.
Trečia, siekdami pagerinti saugumą, jie sugeneravo raktą, kuris iššifruoja šifrą tiesiai ant lusto, o ne judino jį pirmyn ir atgal kartu su modeliu. Jie sukūrė šį unikalų raktą iš atsitiktinių lusto variacijų, kurios įvedamos gamybos metu, naudojant vadinamąją fiziškai neklonuojamą funkciją.
„Galbūt vienas laidas bus šiek tiek storesnis už kitą. Mes galime naudoti šiuos variantus, kad iš grandinės pašalintume nulius ir vienetus. Kiekvienam lustui galime gauti atsitiktinį raktą, kuris turėtų būti nuoseklus, nes šios atsitiktinės savybės laikui bėgant neturėtų reikšmingai keistis“, – aiškina Ashok.
Jie pakartotinai panaudojo lusto atminties ląsteles, panaudodami šių ląstelių trūkumus, kad sukurtų raktą. Tam reikia mažiau skaičiavimo nei generuojant raktą nuo nulio.
„Kadangi saugumas tapo labai svarbiu krašto įrenginių dizaino klausimu, reikia sukurti visą sistemos rinkinį, sutelkiant dėmesį į saugų veikimą. Šiame darbe pagrindinis dėmesys skiriamas mašininio mokymosi darbo krūvių saugumui ir aprašomas skaitmeninis procesorius, kuriame naudojamas skersinis optimizavimas. Ji apima šifruotą prieigą prie duomenų tarp atminties ir procesoriaus, būdus, kaip užkirsti kelią šoninių kanalų atakoms, naudojant atsitiktinių atranką, ir kintamumo išnaudojimą unikaliems kodams generuoti. Tokie dizainai bus labai svarbūs būsimuose mobiliuosiuose įrenginiuose“, – sako Chandrakasanas.
Saugos bandymai
Norėdami išbandyti savo lustą, tyrėjai ėmėsi įsilaužėlių vaidmens ir bandė pavogti slaptą informaciją naudodami šoninio kanalo ir autobusų zondavimo atakas.
Net po milijonų bandymų jie negalėjo atkurti jokios tikrosios informacijos arba išgauti modelio ar duomenų rinkinio dalių. Šifras taip pat liko nepalaužiamas. Priešingai, norint pavogti informaciją iš neapsaugotos lusto, prireikė tik apie 5,000 pavyzdžių.
Papildomas saugumas sumažino akceleratoriaus energijos vartojimo efektyvumą, be to, reikėjo didesnio lusto ploto, todėl jo gamyba būtų brangesnė.
Komanda planuoja ištirti būdus, kurie ateityje galėtų sumažinti energijos suvartojimą ir jų lusto dydį, o tai palengvintų diegimą dideliu mastu.
„Kadangi tai tampa per brangu, tampa sunkiau ką nors įtikinti, kad saugumas yra labai svarbus. Būsimas darbas galėtų ištirti šiuos kompromisus. Galbūt galėtume padaryti jį šiek tiek mažiau saugų, bet lengviau įgyvendinamą ir pigesnį“, - sako Ashok.
Parašė Adamas Zewe
