Onderzoekers hebben met deze kleine chip een beveiligingsoplossing ontwikkeld voor energievretende AI-modellen die bescherming biedt tegen twee veelvoorkomende aanvallen.
Apps voor gezondheidsmonitoring kan mensen helpen chronische ziekten te beheersen of op koers te blijven met fitnessdoelen, met niets anders dan een smartphone. Deze apps kunnen echter traag en energie-inefficiënt zijn, omdat de enorme machine learning-modellen die ze aandrijven, moeten worden gependeld tussen een smartphone en een centrale geheugenserver.
Ingenieurs versnellen de zaken vaak met behulp van hardware die de noodzaak vermindert om zoveel gegevens heen en weer te verplaatsen. Hoewel deze machine learning-versnellers de berekeningen kunnen stroomlijnen, zijn ze gevoelig voor aanvallers die geheime informatie kunnen stelen.
Om deze kwetsbaarheid te verminderen hebben onderzoekers van MIT en het MIT-IBM Watson AI Lab een machine-learning accelerator ontwikkeld die bestand is tegen de twee meest voorkomende soorten aanvallen. Hun chip kan de gezondheidsdossiers, financiële informatie of andere gevoelige gegevens van een gebruiker privé houden, terwijl enorme AI-modellen toch efficiënt op apparaten kunnen draaien.
Het team heeft verschillende optimalisaties ontwikkeld die een sterke beveiliging mogelijk maken en het apparaat slechts licht vertragen. Bovendien heeft de extra beveiliging geen invloed op de nauwkeurigheid van berekeningen. Deze machinale leerversneller zou met name nuttig kunnen zijn voor veeleisende AI-toepassingen zoals augmented en virtual reality of autonoom rijden.
Hoewel de implementatie van de chip een apparaat iets duurder en minder energiezuinig zou maken, is dat soms een waardevolle prijs om te betalen voor beveiliging, zegt hoofdauteur Maitreyi Ashok, een afgestudeerde student elektrotechniek en computerwetenschappen (EECS) aan het MIT.
“Het is belangrijk om vanaf de basis te ontwerpen met veiligheid in gedachten. Als u zelfs maar een minimale hoeveelheid beveiliging probeert toe te voegen nadat een systeem is ontworpen, is dit onbetaalbaar. Tijdens de ontwerpfase hebben we veel van deze afwegingen effectief in evenwicht kunnen brengen”, zegt Ashok.
Haar co-auteurs zijn onder meer Saurav Maji, een EECS-afgestudeerde student; Xin Zhang en John Cohn van het MIT-IBM Watson AI Lab; en senior auteur Anantha Chandrakasan, hoofd innovatie en strategie van MIT, decaan van de School of Engineering, en de Vannevar Bush Professor van EECS. Het onderzoek zal worden gepresenteerd op de IEEE Custom Integrated Circuits Conference.
Zijkanaalgevoeligheid
De onderzoekers richtten zich op een type machine-learning accelerator genaamd digital in-memory compute. Een digitale IMC-chip voert berekeningen uit in het geheugen van een apparaat, waar delen van een machinaal leermodel worden opgeslagen nadat ze van een centrale server zijn overgebracht.
Het hele model is te groot om op het apparaat op te slaan, maar door het in stukken te breken en die stukken zoveel mogelijk te hergebruiken, verminderen IMC-chips de hoeveelheid data die heen en weer moet worden verplaatst.
Maar IMC-chips kunnen gevoelig zijn voor hackers. Bij een zijkanaalaanval houdt een hacker het stroomverbruik van de chip in de gaten en gebruikt hij statistische technieken om gegevens te reverse-engineeren terwijl de chip gegevens verwerkt. Bij een bus-probing-aanval kan de hacker bits van het model en de dataset stelen door de communicatie tussen de versneller en het externe geheugen te onderzoeken.
Digitale IMC versnelt de berekeningen door miljoenen bewerkingen tegelijk uit te voeren, maar deze complexiteit maakt het moeilijk om aanvallen te voorkomen met behulp van traditionele beveiligingsmaatregelen, zegt Ashok.
Zij en haar medewerkers hanteerden een drieledige aanpak om aanvallen via zijkanalen en bussen te blokkeren.
Ten eerste gebruikten ze een beveiligingsmaatregel waarbij gegevens in het IMC in willekeurige stukken worden opgesplitst. Een bit nul kan bijvoorbeeld worden gesplitst in drie bits die na een logische bewerking nog steeds gelijk zijn aan nul. Het IMC rekent nooit met alle stukken in dezelfde bewerking, dus een zijkanaalaanval zou nooit de echte informatie kunnen reconstrueren.
Maar om deze techniek te laten werken, moeten willekeurige bits worden toegevoegd om de gegevens te splitsen. Omdat digitale IMC miljoenen bewerkingen tegelijk uitvoert, zou het genereren van zoveel willekeurige bits te veel rekenkracht vergen. Voor hun chip vonden de onderzoekers een manier om berekeningen te vereenvoudigen, waardoor het gemakkelijker werd om gegevens effectief te splitsen en tegelijkertijd de noodzaak voor willekeurige bits te elimineren.
Ten tweede voorkwamen ze bus-indringende aanvallen met behulp van een lichtgewicht cijfer dat het model codeert dat is opgeslagen in het externe geheugen. Dit lichtgewicht cijfer vereist slechts eenvoudige berekeningen. Bovendien ontsleutelden ze alleen de delen van het model die op de chip waren opgeslagen als dat nodig was.
Ten derde hebben ze, om de veiligheid te verbeteren, de sleutel gegenereerd die de code rechtstreeks op de chip decodeert, in plaats van deze met het model heen en weer te bewegen. Ze hebben deze unieke sleutel gegenereerd uit willekeurige variaties in de chip die tijdens de productie worden geïntroduceerd, met behulp van een zogenaamde fysiek niet-kloneerbare functie.
“Misschien zal de ene draad een beetje dikker zijn dan de andere. We kunnen deze variaties gebruiken om nullen en enen uit een circuit te halen. Voor elke chip kunnen we een willekeurige sleutel krijgen die consistent moet zijn, omdat deze willekeurige eigenschappen in de loop van de tijd niet significant mogen veranderen”, legt Ashok uit.
Ze hergebruikten de geheugencellen op de chip en maakten gebruik van de onvolkomenheden in deze cellen om de sleutel te genereren. Dit vereist minder rekenwerk dan het helemaal opnieuw genereren van een sleutel.
“Aangezien beveiliging een cruciaal probleem is geworden bij het ontwerp van edge-apparaten, is er behoefte aan de ontwikkeling van een complete systeemstack die zich richt op een veilige werking. Dit werk richt zich op de beveiliging van machine learning-workloads en beschrijft een digitale processor die gebruik maakt van transversale optimalisatie. Het omvat gecodeerde gegevenstoegang tussen geheugen en processor, benaderingen om zijkanaalaanvallen te voorkomen met behulp van randomisatie en het benutten van variabiliteit om unieke codes te genereren. Dergelijke ontwerpen zullen van cruciaal belang zijn voor toekomstige mobiele apparaten”, zegt Chandrakasan.
Veiligheidstests
Om hun chip te testen, namen de onderzoekers de rol van hackers op zich en probeerden geheime informatie te stelen met behulp van zijkanaal- en bus-indringende aanvallen.
Zelfs na miljoenen pogingen konden ze geen echte informatie reconstrueren of stukjes uit het model of de dataset extraheren. Het cijfer bleef ook onbreekbaar. Daarentegen waren er slechts ongeveer 5,000 monsters nodig om informatie van een onbeschermde chip te stelen.
De toevoeging van beveiliging verminderde de energie-efficiëntie van de versneller en vereiste ook een groter chipoppervlak, waardoor de fabricage ervan duurder zou worden.
Het team is van plan methoden te onderzoeken die het energieverbruik en de omvang van hun chip in de toekomst kunnen verminderen, waardoor deze gemakkelijker op grote schaal kan worden geïmplementeerd.
“Naarmate het te duur wordt, wordt het moeilijker om iemand ervan te overtuigen dat beveiliging van cruciaal belang is. Toekomstig werk zou deze afwegingen kunnen onderzoeken. Misschien kunnen we het iets minder veilig maken, maar ook eenvoudiger te implementeren en goedkoper”, zegt Ashok.
Geschreven door Adam Zewe
