Os pesquisadores desenvolveram uma solução de segurança com este pequeno chip para modelos de IA que consomem muita energia e que oferece proteção contra dois ataques comuns.
Aplicativos de monitoramento de saúde pode ajudar as pessoas a controlar doenças crônicas ou a manter o controle de suas metas de condicionamento físico, usando nada mais do que um smartphone. No entanto, estas aplicações podem ser lentas e ineficientes em termos energéticos porque os vastos modelos de aprendizagem automática que as alimentam devem ser transferidos entre um smartphone e um servidor de memória central.
Os engenheiros geralmente aceleram as coisas usando hardware que reduz a necessidade de mover tantos dados para frente e para trás. Embora esses aceleradores de aprendizado de máquina possam agilizar a computação, eles são suscetíveis a invasores que podem roubar informações secretas.
Para reduzir esta vulnerabilidade, pesquisadores do MIT e do MIT-IBM Watson AI Lab criaram um acelerador de aprendizado de máquina resistente aos dois tipos mais comuns de ataques. Seu chip pode manter privados os registros de saúde, informações financeiras ou outros dados confidenciais do usuário, ao mesmo tempo que permite que enormes modelos de IA sejam executados com eficiência nos dispositivos.
A equipe desenvolveu várias otimizações que permitem uma segurança forte, ao mesmo tempo que tornam o dispositivo apenas ligeiramente lento. Além disso, a segurança adicional não afeta a precisão dos cálculos. Este acelerador de aprendizado de máquina pode ser particularmente benéfico para aplicações exigentes de IA, como realidade aumentada e virtual ou direção autônoma.
Embora a implementação do chip tornasse um dispositivo um pouco mais caro e menos eficiente em termos energéticos, às vezes esse é um preço que vale a pena pagar pela segurança, diz a autora principal Maitreyi Ashok, estudante de graduação em engenharia elétrica e ciência da computação (EECS) no MIT.
“É importante projetar com a segurança em mente desde o início. Se você estiver tentando adicionar pelo menos uma quantidade mínima de segurança após o projeto de um sistema, isso será proibitivamente caro. Conseguimos equilibrar com eficácia muitas dessas compensações durante a fase de design”, afirma Ashok.
Seus coautores incluem Saurav Maji, estudante de pós-graduação do EECS; Xin Zhang e John Cohn do Laboratório de IA do MIT-IBM Watson; e a autora sênior Anantha Chandrakasan, diretora de inovação e estratégia do MIT, reitora da Escola de Engenharia e professora Vannevar Bush do EECS. A pesquisa será apresentada na Conferência IEEE Custom Integrated Circuits.
Suscetibilidade do canal lateral
Os pesquisadores focaram em um tipo de acelerador de aprendizado de máquina chamado computação digital na memória. Um chip IMC digital realiza cálculos dentro da memória de um dispositivo, onde peças de um modelo de aprendizado de máquina são armazenadas após serem movidas de um servidor central.
O modelo inteiro é grande demais para ser armazenado no dispositivo, mas ao dividi-lo em pedaços e reutilizá-los tanto quanto possível, os chips IMC reduzem a quantidade de dados que devem ser movidos para frente e para trás.
Mas os chips IMC podem ser suscetíveis a hackers. Em um ataque de canal lateral, um hacker monitora o consumo de energia do chip e usa técnicas estatísticas para fazer engenharia reversa dos dados enquanto o chip computa. Em um ataque de sondagem de barramento, o hacker pode roubar bits do modelo e do conjunto de dados testando a comunicação entre o acelerador e a memória fora do chip.
O IMC digital acelera a computação ao realizar milhões de operações ao mesmo tempo, mas essa complexidade torna difícil prevenir ataques usando medidas de segurança tradicionais, diz Ashok.
Ela e seus colaboradores adotaram uma abordagem tripla para bloquear ataques de canal lateral e de sondagem de ônibus.
Primeiro, eles empregaram uma medida de segurança em que os dados do IMC são divididos em partes aleatórias. Por exemplo, um bit zero pode ser dividido em três bits que ainda são iguais a zero após uma operação lógica. O IMC nunca computa com todas as peças na mesma operação, portanto, um ataque de canal lateral nunca poderia reconstruir a informação real.
Mas para que esta técnica funcione, bits aleatórios devem ser adicionados para dividir os dados. Como o IMC digital executa milhões de operações ao mesmo tempo, gerar tantos bits aleatórios envolveria muita computação. Para seu chip, os pesquisadores encontraram uma maneira de simplificar os cálculos, facilitando a divisão eficaz dos dados e eliminando a necessidade de bits aleatórios.
Em segundo lugar, eles evitaram ataques de sondagem de barramento usando uma cifra leve que criptografa o modelo armazenado na memória fora do chip. Esta cifra leve requer apenas cálculos simples. Além disso, eles só descriptografaram as peças do modelo armazenadas no chip quando necessário.
Terceiro, para melhorar a segurança, eles geraram a chave que descriptografa a cifra diretamente no chip, em vez de movê-la para frente e para trás com o modelo. Eles geraram essa chave exclusiva a partir de variações aleatórias no chip introduzidas durante a fabricação, usando o que é conhecido como função fisicamente não clonável.
“Talvez um fio seja um pouco mais grosso que outro. Podemos utilizar estas variações para obter zeros e uns de um circuito. Para cada chip, podemos obter uma chave aleatória que deve ser consistente porque essas propriedades aleatórias não devem mudar significativamente ao longo do tempo”, explica Ashok.
Eles reutilizaram as células de memória do chip, aproveitando as imperfeições dessas células para gerar a chave. Isso requer menos computação do que gerar uma chave do zero.
“À medida que a segurança se tornou uma questão crítica no design de dispositivos de ponta, é necessário desenvolver uma pilha completa de sistemas com foco na operação segura. Este trabalho se concentra na segurança para cargas de trabalho de aprendizado de máquina e descreve um processador digital que usa otimização transversal. Ele incorpora acesso a dados criptografados entre a memória e o processador, abordagens para prevenir ataques de canal lateral usando randomização e explorando a variabilidade para gerar códigos exclusivos. Esses designs serão essenciais em futuros dispositivos móveis”, afirma Chandrakasan.
Os testes de segurança
Para testar seu chip, os pesquisadores assumiram o papel de hackers e tentaram roubar informações secretas usando ataques de canal lateral e de sondagem de barramento.
Mesmo depois de fazer milhões de tentativas, eles não conseguiram reconstruir nenhuma informação real ou extrair partes do modelo ou conjunto de dados. A cifra também permaneceu inquebrável. Por outro lado, foram necessárias apenas cerca de 5,000 amostras para roubar informações de um chip desprotegido.
A adição de segurança reduziu a eficiência energética do acelerador e também exigiu uma área maior do chip, o que tornaria sua fabricação mais cara.
A equipe está planejando explorar métodos que possam reduzir o consumo de energia e o tamanho do seu chip no futuro, o que facilitaria a implementação em escala.
“À medida que fica muito caro, fica mais difícil convencer alguém de que a segurança é crítica. Trabalhos futuros poderiam explorar essas compensações. Talvez pudéssemos torná-lo um pouco menos seguro, mas mais fácil de implementar e menos dispendioso”, diz Ashok.
Escrito por Adam Zewe
