Forskere har utviklet en sikkerhetsløsning med denne lille brikken for kraftkrevende AI-modeller som gir beskyttelse mot to vanlige angrep.
Helseovervåkingsapper kan hjelpe folk med å håndtere kroniske sykdommer eller holde seg på sporet med treningsmål, ved å bruke noe mer enn en smarttelefon. Imidlertid kan disse appene være trege og energiineffektive fordi de enorme maskinlæringsmodellene som driver dem må flyttes mellom en smarttelefon og en sentral minneserver.
Ingeniører får ofte fart på ting ved å bruke maskinvare som reduserer behovet for å flytte så mye data frem og tilbake. Selv om disse maskinlæringsakseleratorene kan strømlinjeforme beregningen, er de utsatt for angripere som kan stjele hemmelig informasjon.
For å redusere denne sårbarheten har forskere fra MIT og MIT-IBM Watson AI Lab laget en maskinlæringsakselerator som er motstandsdyktig mot de to vanligste typene angrep. Brikken deres kan holde en brukers helsejournal, finansiell informasjon eller andre sensitive data private samtidig som den lar enorme AI-modeller kjøre effektivt på enheter.
Teamet utviklet flere optimaliseringer som muliggjør sterk sikkerhet mens enheten bare bremses litt. Dessuten påvirker ikke den ekstra sikkerheten nøyaktigheten til beregningene. Denne maskinlæringsakseleratoren kan være spesielt gunstig for krevende AI-applikasjoner som utvidet og virtuell virkelighet eller autonom kjøring.
Selv om implementering av brikken vil gjøre en enhet litt dyrere og mindre energieffektiv, er det noen ganger en verdig pris å betale for sikkerhet, sier hovedforfatter Maitreyi Ashok, en utdannet elektroingeniør og informatikk (EECS) ved MIT.
«Det er viktig å designe med sikkerhet i tankene fra grunnen av. Hvis du prøver å legge til selv en minimal mengde sikkerhet etter at et system er designet, er det uoverkommelig dyrt. Vi var i stand til effektivt å balansere mange av disse avveiningene under designfasen, sier Ashok.
Medforfatterne hennes inkluderer Saurav Maji, en EECS-student; Xin Zhang og John Cohn fra MIT-IBM Watson AI Lab; og seniorforfatter Anantha Chandrakasan, MITs sjef for innovasjon og strategi, dekan ved School of Engineering, og Vannevar Bush-professoren i EECS. Forskningen vil bli presentert på IEEE Custom Integrated Circuits Conference.
Sidekanals følsomhet
Forskerne målrettet en type maskinlæringsakselerator kalt digital in-memory compute. En digital IMC-brikke utfører beregninger inne i en enhets minne, der deler av en maskinlæringsmodell lagres etter å ha blitt flyttet over fra en sentral server.
Hele modellen er for stor til å lagre på enheten, men ved å bryte den opp i biter og gjenbruke de bitene så mye som mulig, reduserer IMC-brikker mengden data som må flyttes frem og tilbake.
Men IMC-brikker kan være utsatt for hackere. I et sidekanalangrep overvåker en hacker brikkens strømforbruk og bruker statistiske teknikker for å reversere data mens brikken beregner. I et bus-probing-angrep kan hackeren stjele biter av modellen og datasettet ved å undersøke kommunikasjonen mellom akseleratoren og off-chip-minnet.
Digital IMC gir raskere beregninger ved å utføre millioner av operasjoner samtidig, men denne kompleksiteten gjør det vanskelig å forhindre angrep ved hjelp av tradisjonelle sikkerhetstiltak, sier Ashok.
Hun og hennes samarbeidspartnere tok en tredelt tilnærming til å blokkere sidekanal- og busssøkende angrep.
Først brukte de et sikkerhetstiltak der data i IMC er delt opp i tilfeldige deler. For eksempel kan en bit null deles inn i tre biter som fortsatt er lik null etter en logisk operasjon. IMC beregner aldri med alle brikkene i samme operasjon, så et sidekanalangrep kan aldri rekonstruere den virkelige informasjonen.
Men for at denne teknikken skal fungere, må tilfeldige biter legges til for å dele dataene. Fordi digital IMC utfører millioner av operasjoner samtidig, vil det å generere så mange tilfeldige biter innebære for mye databehandling. For brikken deres fant forskerne en måte å forenkle beregninger på, noe som gjør det enklere å effektivt dele data samtidig som man eliminerer behovet for tilfeldige biter.
For det andre forhindret de bus-probing-angrep ved å bruke en lett chiffer som krypterer modellen lagret i off-chip-minne. Denne lette chifferen krever bare enkle beregninger. I tillegg dekrypterte de bare delene av modellen som var lagret på brikken når det var nødvendig.
For det tredje, for å forbedre sikkerheten, genererte de nøkkelen som dekrypterer chifferen direkte på brikken, i stedet for å flytte den frem og tilbake med modellen. De genererte denne unike nøkkelen fra tilfeldige variasjoner i brikken som introduseres under produksjon, ved å bruke det som er kjent som en fysisk uklonbar funksjon.
"Kanskje en ledning kommer til å være litt tykkere enn en annen. Vi kan bruke disse variasjonene til å få nuller og enere ut av en krets. For hver brikke kan vi få en tilfeldig nøkkel som bør være konsistent fordi disse tilfeldige egenskapene ikke bør endres nevneverdig over tid,” forklarer Ashok.
De gjenbrukte minnecellene på brikken, og utnyttet ufullkommenhetene i disse cellene for å generere nøkkelen. Dette krever mindre beregning enn å generere en nøkkel fra bunnen av.
«Ettersom sikkerhet har blitt et kritisk problem i utformingen av edge-enheter, er det behov for å utvikle en komplett systemstabel med fokus på sikker drift. Dette arbeidet fokuserer på sikkerhet for maskinlæringsarbeidsbelastninger og beskriver en digital prosessor som bruker tverrgående optimalisering. Den inkorporerer kryptert datatilgang mellom minne og prosessor, tilnærminger for å forhindre sidekanalangrep ved å bruke randomisering og utnytte variasjon for å generere unike koder. Slike design kommer til å være kritiske i fremtidige mobile enheter, sier Chandrakasan.
Sikkerhetstesting
For å teste brikken deres tok forskerne på seg rollen som hackere og prøvde å stjele hemmelig informasjon ved å bruke sidekanal- og bus-probing-angrep.
Selv etter å ha gjort millioner av forsøk, kunne de ikke rekonstruere noen reell informasjon eller trekke ut deler av modellen eller datasettet. Chifferen forble også uknuselig. Derimot tok det bare rundt 5,000 prøver for å stjele informasjon fra en ubeskyttet brikke.
Tillegget av sikkerhet reduserte energieffektiviteten til akseleratoren, og det krevde også et større brikkeområde, noe som ville gjøre den dyrere å fremstille.
Teamet planlegger å utforske metoder som kan redusere energiforbruket og størrelsen på brikken deres i fremtiden, noe som vil gjøre det enklere å implementere i stor skala.
«Ettersom det blir for dyrt, blir det vanskeligere å overbevise noen om at sikkerhet er kritisk. Fremtidig arbeid kan utforske disse avveiningene. Kanskje vi kunne gjort det litt mindre sikkert, men enklere å implementere og rimeligere, sier Ashok.
Skrevet av Adam Zewe
