Penyelidik telah membangunkan penyelesaian keselamatan dengan cip kecil ini untuk model AI yang haus kuasa yang menawarkan perlindungan terhadap dua serangan biasa.
Apl pemantauan kesihatan boleh membantu orang ramai menguruskan penyakit kronik atau kekal di landasan yang betul dengan matlamat kecergasan, menggunakan tidak lebih daripada telefon pintar. Walau bagaimanapun, apl ini boleh menjadi perlahan dan tidak cekap tenaga kerana model pembelajaran mesin yang luas yang menggerakkannya mesti dialihkan antara telefon pintar dan pelayan memori pusat.
Jurutera sering mempercepatkan perkara menggunakan perkakasan yang mengurangkan keperluan untuk memindahkan begitu banyak data ke sana ke mari. Walaupun pemecut pembelajaran mesin ini boleh menyelaraskan pengiraan, mereka terdedah kepada penyerang yang boleh mencuri maklumat rahsia.
Untuk mengurangkan kerentanan ini, penyelidik dari MIT dan MIT-IBM Watson AI Lab mencipta pemecut pembelajaran mesin yang tahan terhadap dua jenis serangan yang paling biasa. Cip mereka boleh menyimpan rekod kesihatan pengguna, maklumat kewangan atau data sensitif lain secara peribadi sambil masih membolehkan model AI besar berjalan dengan cekap pada peranti.
Pasukan itu membangunkan beberapa pengoptimuman yang membolehkan keselamatan yang kukuh sambil hanya melambatkan sedikit peranti. Selain itu, keselamatan tambahan tidak memberi kesan kepada ketepatan pengiraan. Pemecut pembelajaran mesin ini boleh memberi manfaat terutamanya untuk menuntut aplikasi AI seperti realiti tambahan dan maya atau pemanduan autonomi.
Walaupun melaksanakan cip itu akan menjadikan peranti lebih mahal sedikit dan kurang cekap tenaga, itu kadangkala merupakan harga yang berbaloi untuk dibayar untuk keselamatan, kata pengarang utama Maitreyi Ashok, pelajar siswazah kejuruteraan elektrik dan sains komputer (EECS) di MIT.
“Adalah penting untuk mereka bentuk dengan mengambil kira keselamatan dari bawah. Jika anda cuba menambah walaupun jumlah keselamatan yang minimum selepas sistem direka bentuk, ia sangat mahal. Kami dapat mengimbangi banyak pertukaran ini dengan berkesan semasa fasa reka bentuk, "kata Ashok.
Pengarang bersamanya termasuk Saurav Maji, seorang pelajar siswazah EECS; Xin Zhang dan John Cohn dari MIT-IBM Watson AI Lab; dan pengarang kanan Anantha Chandrakasan, ketua pegawai inovasi dan strategi MIT, dekan Sekolah Kejuruteraan, dan Profesor Vannevar Bush EECS. Penyelidikan akan dibentangkan di Persidangan Litar Bersepadu Tersuai IEEE.
Kerentanan saluran sisi
Para penyelidik menyasarkan sejenis pemecut pembelajaran mesin yang dipanggil pengiraan dalam memori digital. Cip IMC digital melakukan pengiraan di dalam memori peranti, di mana kepingan model pembelajaran mesin disimpan selepas dialihkan dari pelayan pusat.
Keseluruhan model terlalu besar untuk disimpan pada peranti, tetapi dengan memecahkannya menjadi kepingan dan menggunakan semula kepingan tersebut sebanyak mungkin, cip IMC mengurangkan jumlah data yang mesti dialihkan ke sana ke mari.
Tetapi cip IMC boleh terdedah kepada penggodam. Dalam serangan saluran sisi, penggodam memantau penggunaan kuasa cip dan menggunakan teknik statistik untuk data kejuruteraan terbalik semasa cip mengira. Dalam serangan menyiasat bas, penggodam boleh mencuri bit model dan set data dengan meneliti komunikasi antara pemecut dan memori luar cip.
IMC digital mempercepatkan pengiraan dengan melakukan berjuta-juta operasi sekaligus, tetapi kerumitan ini menjadikannya sukar untuk menghalang serangan menggunakan langkah keselamatan tradisional, kata Ashok.
Dia dan rakan usaha samanya mengambil pendekatan serampang tiga mata untuk menyekat serangan saluran sisi dan pemeriksaan bas.
Pertama, mereka menggunakan langkah keselamatan di mana data dalam IMC dibahagikan kepada kepingan rawak. Sebagai contoh, sedikit sifar mungkin dibahagikan kepada tiga bit yang masih sama dengan sifar selepas operasi logik. IMC tidak pernah mengira dengan semua bahagian dalam operasi yang sama, jadi serangan saluran sisi tidak boleh membina semula maklumat sebenar.
Tetapi untuk teknik ini berfungsi, bit rawak mesti ditambah untuk memisahkan data. Oleh kerana IMC digital melaksanakan berjuta-juta operasi sekali gus, menghasilkan begitu banyak bit rawak akan melibatkan terlalu banyak pengkomputeran. Untuk cip mereka, para penyelidik menemui cara untuk memudahkan pengiraan, menjadikannya lebih mudah untuk memisahkan data dengan berkesan sambil menghapuskan keperluan untuk bit rawak.
Kedua, mereka menghalang serangan pemeriksaan bas menggunakan sifir ringan yang menyulitkan model yang disimpan dalam memori luar cip. Sifir ringan ini hanya memerlukan pengiraan mudah. Di samping itu, mereka hanya menyahsulit kepingan model yang disimpan pada cip apabila perlu.
Ketiga, untuk meningkatkan keselamatan, mereka menghasilkan kunci yang menyahsulit sifir secara langsung pada cip, dan bukannya mengalihkannya ke sana ke mari dengan model. Mereka menjana kunci unik ini daripada variasi rawak dalam cip yang diperkenalkan semasa pembuatan, menggunakan apa yang dikenali sebagai fungsi tidak boleh klon secara fizikal.
"Mungkin satu wayar akan menjadi sedikit lebih tebal daripada yang lain. Kita boleh menggunakan variasi ini untuk mendapatkan sifar dan satu daripada litar. Untuk setiap cip, kita boleh mendapatkan kunci rawak yang harus konsisten kerana sifat rawak ini tidak boleh berubah dengan ketara dari semasa ke semasa, "jelas Ashok.
Mereka menggunakan semula sel memori pada cip, memanfaatkan ketidaksempurnaan dalam sel ini untuk menjana kunci. Ini memerlukan kurang pengiraan daripada menjana kunci dari awal.
“Memandangkan keselamatan telah menjadi isu kritikal dalam reka bentuk peranti tepi, terdapat keperluan untuk membangunkan susunan sistem lengkap yang memfokuskan pada operasi selamat. Kerja ini memfokuskan pada keselamatan untuk beban kerja pembelajaran mesin dan menerangkan pemproses digital yang menggunakan pengoptimuman silang. Ia menggabungkan akses data yang disulitkan antara memori dan pemproses, pendekatan untuk mencegah serangan saluran sisi menggunakan rawak, dan mengeksploitasi kebolehubahan untuk menjana kod unik. Reka bentuk sedemikian akan menjadi kritikal dalam peranti mudah alih masa depan, "kata Chandrakasan.
Ujian keselamatan
Untuk menguji cip mereka, para penyelidik mengambil peranan sebagai penggodam dan cuba mencuri maklumat rahsia menggunakan serangan saluran sisi dan pemeriksaan bas.
Walaupun selepas membuat berjuta-juta percubaan, mereka tidak dapat membina semula sebarang maklumat sebenar atau mengekstrak kepingan model atau set data. Sifir juga kekal tidak boleh dipecahkan. Sebaliknya, ia hanya mengambil kira-kira 5,000 sampel untuk mencuri maklumat daripada cip yang tidak dilindungi.
Penambahan keselamatan telah mengurangkan kecekapan tenaga pemecut, dan ia juga memerlukan kawasan cip yang lebih besar, yang akan menjadikannya lebih mahal untuk dibuat.
Pasukan itu merancang untuk meneroka kaedah yang boleh mengurangkan penggunaan tenaga dan saiz cip mereka pada masa hadapan, yang akan menjadikannya lebih mudah untuk dilaksanakan secara berskala.
“Oleh kerana ia menjadi terlalu mahal, ia menjadi lebih sukar untuk meyakinkan seseorang bahawa keselamatan adalah kritikal. Kerja masa depan boleh meneroka pertukaran ini. Mungkin kita boleh menjadikannya kurang selamat tetapi lebih mudah untuk dilaksanakan dan lebih murah, "kata Ashok.
Ditulis oleh Adam Zewe
