Naukowcy opracowali rozwiązanie zabezpieczające składające się z tego małego chipa dla energochłonnych modeli sztucznej inteligencji, które zapewnia ochronę przed dwoma typowymi atakami.
Aplikacje monitorujące stan zdrowia może pomóc ludziom radzić sobie z chorobami przewlekłymi lub utrzymać cele fitness, używając jedynie smartfona. Jednak aplikacje te mogą być powolne i energooszczędne, ponieważ rozległe modele uczenia maszynowego, które je obsługują, muszą być przesyłane między smartfonem a centralnym serwerem pamięci.
Inżynierowie często przyspieszają pracę, używając sprzętu, który zmniejsza potrzebę przenoszenia tak dużej ilości danych tam i z powrotem. Chociaż te akceleratory uczenia maszynowego mogą usprawnić obliczenia, są podatne na ataki, które mogą ukraść tajne informacje.
Aby ograniczyć tę lukę, badacze z MIT i MIT-IBM Watson AI Lab stworzyli akcelerator uczenia maszynowego, który jest odporny na dwa najpopularniejsze typy ataków. Ich chip może zapewnić prywatność dokumentacji zdrowotnej użytkownika, informacji finansowych i innych wrażliwych danych, jednocześnie umożliwiając wydajne działanie ogromnych modeli sztucznej inteligencji na urządzeniach.
Zespół opracował kilka optymalizacji, które zapewniają silne bezpieczeństwo, a jednocześnie tylko nieznacznie spowalniają urządzenie. Co więcej, dodatkowe bezpieczeństwo nie wpływa na dokładność obliczeń. Ten akcelerator uczenia maszynowego może być szczególnie przydatny w wymagających zastosowaniach sztucznej inteligencji, takich jak rzeczywistość rozszerzona i wirtualna czy jazda autonomiczna.
Chociaż wdrożenie chipa spowodowałoby, że urządzenie byłoby nieco droższe i mniej energooszczędne, czasami jest to cena, którą warto zapłacić za bezpieczeństwo, mówi główny autor Maitreyi Ashok, absolwent elektrotechniki i informatyki (EECS) na MIT.
„Ważne jest, aby projektować od podstaw z myślą o bezpieczeństwie. Jeśli po zaprojektowaniu systemu próbujesz dodać nawet minimalne zabezpieczenia, jest to zbyt drogie. Wiele z tych kompromisów udało nam się skutecznie zrównoważyć na etapie projektowania” – mówi Ashok.
Jej współautorami są Saurav Maji, absolwent EECS; Xin Zhang i John Cohn z laboratorium MIT-IBM Watson AI; oraz starsza autorka Anantha Chandrakasan, dyrektor ds. innowacji i strategii w MIT, dziekan Wydziału Inżynierii i profesor EECS Vannevara Busha. Wyniki badań zostaną zaprezentowane na konferencji IEEE Custom Integrated Circuits Conference.
Podatność kanału bocznego
Badacze zajęli się rodzajem akceleratora uczenia maszynowego zwanego cyfrowym przetwarzaniem w pamięci. Cyfrowy chip IMC wykonuje obliczenia w pamięci urządzenia, w której przechowywane są fragmenty modelu uczenia maszynowego po przeniesieniu z centralnego serwera.
Cały model jest zbyt duży, aby przechowywać go na urządzeniu, ale dzieląc go na kawałki i ponownie wykorzystując je w jak największym stopniu, chipy IMC zmniejszają ilość danych, które muszą być przenoszone tam i z powrotem.
Ale chipy IMC mogą być podatne na ataki hakerów. W przypadku ataku z kanałem bocznym haker monitoruje zużycie energii przez chip i wykorzystuje techniki statystyczne do inżynierii wstecznej danych w trakcie obliczeń chipa. Podczas ataku polegającego na sondowaniu magistrali haker może ukraść fragmenty modelu i zestawu danych, sprawdzając komunikację między akceleratorem a pamięcią zewnętrzną.
Cyfrowy IMC przyspiesza obliczenia, wykonując miliony operacji na raz, ale ta złożoność utrudnia zapobieganie atakom przy użyciu tradycyjnych środków bezpieczeństwa, mówi Ashok.
Ona i jej współpracownicy przyjęli trójstronne podejście do blokowania ataków typu side-channel i bus-sonding.
Po pierwsze, zastosowali środek bezpieczeństwa polegający na dzieleniu danych w IMC na losowe fragmenty. Na przykład bit zero można podzielić na trzy bity, które po operacji logicznej nadal wynoszą zero. IMC nigdy nie wykonuje obliczeń ze wszystkimi elementami w ramach tej samej operacji, więc atak z kanału bocznego nigdy nie będzie w stanie zrekonstruować prawdziwych informacji.
Aby jednak ta technika zadziałała, należy dodać losowe bity w celu podziału danych. Ponieważ cyfrowy IMC wykonuje miliony operacji na raz, generowanie tak wielu losowych bitów wymagałoby zbyt dużej ilości obliczeń. W przypadku swojego chipa naukowcy znaleźli sposób na uproszczenie obliczeń, ułatwiając efektywne dzielenie danych, eliminując jednocześnie potrzebę stosowania losowych bitów.
Po drugie, zapobiegli atakom polegającym na sondowaniu magistrali przy użyciu lekkiego szyfru, który szyfruje model przechowywany w pamięci zewnętrznej. Ten lekki szyfr wymaga jedynie prostych obliczeń. Ponadto odszyfrowywali fragmenty modelu zapisane na chipie tylko wtedy, gdy było to konieczne.
Po trzecie, aby poprawić bezpieczeństwo, wygenerowali klucz, który odszyfrowuje szyfr bezpośrednio w chipie, zamiast przesuwać go tam i z powrotem wraz z modelem. Wygenerowali ten unikalny klucz na podstawie losowych zmian w chipie wprowadzonych podczas produkcji, wykorzystując tak zwaną funkcję fizycznie nieklonowaną.
„Być może jeden drut będzie trochę grubszy od drugiego. Możemy użyć tych odmian, aby uzyskać zera i jedyneki z obwodu. Dla każdego chipa możemy otrzymać losowy klucz, który powinien być spójny, ponieważ te losowe właściwości nie powinny znacząco zmieniać się w czasie” – wyjaśnia Ashok.
Ponownie wykorzystali komórki pamięci w chipie, wykorzystując niedoskonałości tych komórek do wygenerowania klucza. Wymaga to mniej obliczeń niż generowanie klucza od zera.
„Ponieważ bezpieczeństwo stało się kluczową kwestią przy projektowaniu urządzeń brzegowych, istnieje potrzeba opracowania kompletnego stosu systemowego skupiającego się na bezpiecznym działaniu. Niniejsza praca koncentruje się na bezpieczeństwie obciążeń związanych z uczeniem maszynowym i opisuje procesor cyfrowy wykorzystujący optymalizację przekrojową. Obejmuje zaszyfrowany dostęp do danych pomiędzy pamięcią a procesorem, podejście do zapobiegania atakom z kanałem bocznym przy użyciu randomizacji oraz wykorzystywanie zmienności do generowania unikalnych kodów. Takie projekty będą miały kluczowe znaczenie w przyszłych urządzeniach mobilnych” – mówi Chandrakasan.
Testy bezpieczeństwa
Aby przetestować swój chip, badacze wcielili się w hakerów i próbowali ukraść tajne informacje za pomocą ataków typu side-channel i bus-sonding.
Nawet po milionach prób nie byli w stanie zrekonstruować żadnych prawdziwych informacji ani wyodrębnić fragmentów modelu lub zbioru danych. Szyfr również pozostał nie do złamania. Dla kontrastu, do kradzieży informacji z niechronionego chipa wystarczyło zaledwie około 5,000 próbek.
Dodanie zabezpieczeń zmniejszyło efektywność energetyczną akceleratora, a także wymagało większej powierzchni chipa, co spowodowałoby, że jego produkcja byłaby droższa.
Zespół planuje zbadać metody, które w przyszłości mogłyby zmniejszyć zużycie energii i rozmiar chipa, co ułatwiłoby jego wdrożenie na dużą skalę.
„W miarę jak staje się to zbyt drogie, coraz trudniej jest przekonać kogoś, że bezpieczeństwo ma kluczowe znaczenie. Przyszłe prace mogłyby zbadać te kompromisy. Być może moglibyśmy sprawić, że byłoby to trochę mniej bezpieczne, ale łatwiejsze do wdrożenia i tańsze” – mówi Ashok.
Napisane przez Adama Zewe
