Истражувачите развија безбедносно решение со овој мал чип за модели со вештачка интелигенција жедни за моќ, што нуди заштита од два вообичаени напади.
Апликации за следење на здравјето може да им помогне на луѓето да се справат со хроничните болести или да останат на вистинскиот пат кон фитнес цели, користејќи ништо повеќе од паметен телефон. Сепак, овие апликации може да бидат бавни и енергетски неефикасни бидејќи огромните модели за машинско учење што ги напојуваат мора да се префрлат помеѓу паметен телефон и централен мемориски сервер.
Инженерите често ги забрзуваат работите користејќи хардвер што ја намалува потребата за преместување толку многу податоци напред-назад. Додека овие акцелератори за машинско учење можат да ги насочат пресметките, тие се подложни на напаѓачи кои можат да украдат тајни информации.
За да се намали оваа ранливост, истражувачите од MIT и MIT-IBM Watson AI Lab создадоа акцелератор за машинско учење кој е отпорен на двата најчести типа на напади. Нивниот чип може да ги чува здравствените досиеја на корисникот, финансиските информации или другите чувствителни податоци приватни, додека сепак им овозможува на огромните модели со вештачка интелигенција ефикасно да работат на уредите.
Тимот разви неколку оптимизации кои овозможуваат силна безбедност додека само малку го забавуваат уредот. Покрај тоа, дополнителната безбедност не влијае на точноста на пресметките. Овој акцелератор за машинско учење може да биде особено корисен за тешки апликации за вештачка интелигенција, како што се зголемена и виртуелна реалност или автономно возење.
Иако имплементацијата на чипот ќе го направи уредот малку поскап и помалку енергетски ефикасен, тоа понекогаш е исплатлива цена за безбедност, вели водечкиот автор Маитреји Ашок, дипломиран студент по електротехника и компјутерски науки (EECS) на MIT.
„Важно е да се дизајнира имајќи ја предвид безбедноста од темел. Ако се обидувате да додадете дури и минимална количина на безбедност откако системот е дизајниран, тоа е премногу скапо. Успеавме ефективно да балансираме многу од овие компромиси за време на фазата на дизајнирање“, вели Ашок.
Нејзините коавтори вклучуваат Саурав Маџи, дипломиран студент на EECS; Ксин Џанг и Џон Кон од MIT-IBM Watson AI Lab; и постар автор Ананта Чандракасан, главен службеник за иновации и стратегии на МИТ, декан на Факултетот за инженерство и професор на EECS во Ваневар Буш. Истражувањето ќе биде претставено на IEEE Custom Integrated Circuits Conference.
Подложност на страничниот канал
Истражувачите таргетираа тип на забрзувач за машинско учење наречен дигитално пресметување во меморијата. Дигитален IMC чип врши пресметки во меморијата на уредот, каде што делови од модел за машинско учење се складираат откако ќе бидат преместени од централен сервер.
Целиот модел е преголем за складирање на уредот, но со кршење на парчиња и повторна употреба колку што е можно повеќе, чиповите IMC го намалуваат количеството на податоци што мора да се поместуваат напред-назад.
Но, IMC чиповите можат да бидат подложни на хакери. Во напад на страничен канал, хакер ја следи потрошувачката на енергија на чипот и користи статистички техники за обратно инженерство на податоците додека чипот пресметува. Во нападот со сондирање со автобус, хакерот може да украде делови од моделот и базата на податоци со испитување на комуникацијата помеѓу забрзувачот и меморијата надвор од чипот.
Дигиталниот IMC го забрзува пресметувањето со извршување на милиони операции одеднаш, но оваа сложеност го прави тешко да се спречат напади користејќи традиционални безбедносни мерки, вели Ашок.
Таа и нејзините соработници презедоа тристран пристап за блокирање на нападите на страничните канали и на автобусите.
Прво, тие примениле безбедносна мерка каде податоците во МОС се поделени на случајни парчиња. На пример, бит нула може да се подели на три бита кои сепак се еднакви на нула по логичка операција. IMC никогаш не пресметува со сите делови во иста операција, така што нападот од страничниот канал никогаш не би можел да ги реконструира вистинските информации.
Но, за оваа техника да работи, мора да се додадат случајни битови за да се подели податоците. Бидејќи дигиталниот IMC извршува милиони операции одеднаш, генерирањето на толку многу случајни битови би вклучило премногу пресметување. За нивниот чип, истражувачите пронајдоа начин да ги поедностават пресметките, што го олеснува ефективно разделување на податоците додека ја елиминира потребата за случајни битови.
Второ, тие ги спречија нападите за испитување на автобуси користејќи лесна шифра која го шифрира моделот складиран во меморијата надвор од чипот. Оваа лесна шифра бара само едноставни пресметки. Покрај тоа, тие само ги дешифрираа парчињата од моделот складирани на чипот кога е потребно.
Трето, за да ја подобрат безбедноста, тие го создадоа клучот што ја дешифрира шифрата директно на чипот, наместо да ја движи напред-назад со моделот. Тие го создадоа овој уникатен клуч од случајни варијации во чипот што се воведуваат за време на производството, користејќи го она што е познато како физички неклонирачка функција.
„Можеби една жица ќе биде малку подебела од друга. Можеме да ги искористиме овие варијации за да извадиме нули и единици од колото. За секој чип, можеме да добиеме случаен клуч кој треба да биде конзистентен бидејќи овие случајни својства не треба значително да се менуваат со текот на времето“, објаснува Ашок.
Тие повторно ги користеа мемориските ќелии на чипот, користејќи ги несовршеностите во овие ќелии за да го генерираат клучот. Ова бара помалку пресметки отколку генерирање клуч од нула.
„Бидејќи безбедноста стана критично прашање во дизајнот на рабните уреди, постои потреба да се развие комплетен системски стек фокусиран на безбедно работење. Ова дело се фокусира на безбедноста на работните оптоварувања за машинско учење и опишува дигитален процесор кој користи оптимизација на вкрстени делови. Вклучува шифриран пристап до податоци помеѓу меморијата и процесорот, пристапи за спречување напади на страничните канали користејќи рандомизација и искористување на варијабилноста за генерирање уникатни кодови. Таквите дизајни ќе бидат критични за идните мобилни уреди“, вели Чандракасан.
Тестирање за безбедност
За да го тестираат својот чип, истражувачите ја презедоа улогата на хакери и се обидоа да украдат тајни информации користејќи напади на странични канали и сондажни автобуси.
Дури и откако направија милиони обиди, тие не можеа да реконструираат вистинска информација или да извлечат делови од моделот или базата на податоци. Шифрата исто така остана нераскинлива. Спротивно на тоа, потребни се само околу 5,000 примероци за да се украдат информации од незаштитен чип.
Додавањето безбедност навистина ја намали енергетската ефикасност на педалот за гас, а исто така бара поголема површина на чипот, што би го направило поскапо за производство.
Тимот планира да истражи методи кои би можеле да ја намалат потрошувачката на енергија и големината на нивниот чип во иднина, што би го олеснило имплементирањето во обем.
„Како што станува прескапо, станува потешко да се убеди некој дека безбедноста е критична. Идната работа може да ги истражи овие компромиси. Можеби би можеле да го направиме малку помалку безбеден, но полесен за имплементација и помалку скап“, вели Ашок.
Напишано од Адам Зеве
