Výskumníci vyvinuli bezpečnostné riešenie s týmto malým čipom pre energeticky náročné modely AI, ktoré ponúka ochranu proti dvom bežným útokom.
Aplikácie na monitorovanie zdravia môže pomôcť ľuďom zvládnuť chronické ochorenia alebo zostať na správnej ceste s cieľmi v oblasti fitness, pričom nepoužíva nič iné ako smartfón. Tieto aplikácie však môžu byť pomalé a energeticky neefektívne, pretože obrovské modely strojového učenia, ktoré ich poháňajú, sa musia presúvať medzi smartfónom a centrálnym pamäťovým serverom.
Inžinieri často zrýchľujú veci pomocou hardvéru, ktorý znižuje potrebu presúvať toľko údajov tam a späť. Hoci tieto urýchľovače strojového učenia dokážu zefektívniť výpočty, sú náchylné na útočníkov, ktorí môžu ukradnúť tajné informácie.
Na zníženie tejto zraniteľnosti vytvorili výskumníci z MIT a MIT-IBM Watson AI Lab akcelerátor strojového učenia, ktorý je odolný voči dvom najbežnejším typom útokov. Ich čip môže uchovávať zdravotné záznamy používateľa, finančné informácie alebo iné citlivé údaje v súkromí, pričom stále umožňuje efektívne fungovanie obrovských modelov AI na zariadeniach.
Tím vyvinul niekoľko optimalizácií, ktoré umožňujú silné zabezpečenie a zároveň len mierne spomaľujú zariadenie. Navyše pridaná bezpečnosť nemá vplyv na presnosť výpočtov. Tento akcelerátor strojového učenia by mohol byť obzvlášť prospešný pre náročné aplikácie AI, ako je rozšírená a virtuálna realita alebo autonómne riadenie.
Zatiaľ čo implementácia čipu by spôsobila, že zariadenie by bolo o niečo drahšie a menej energeticky účinné, čo sa niekedy oplatí zaplatiť za bezpečnosť, hovorí hlavný autor Maitreyi Ashok, postgraduálny študent elektrotechniky a informatiky (EECS) na MIT.
„Dôležité je pri navrhovaní od základu myslieť na bezpečnosť. Ak sa pokúšate pridať čo i len minimálnu mieru zabezpečenia po navrhnutí systému, je to neúmerne drahé. Počas fázy návrhu sme dokázali efektívne vyvážiť mnohé z týchto kompromisov,“ hovorí Ashok.
Medzi jej spoluautorov patrí Saurav Maji, postgraduálny študent EECS; Xin Zhang a John Cohn z MIT-IBM Watson AI Lab; a hlavná autorka Anantha Chandrakasan, hlavná inovátorská a strategická referentka MIT, dekanka Fakulty inžinierstva a profesorka EECS Vannevar Bush. Výskum bude prezentovaný na konferencii IEEE Custom Integrated Circuits Conference.
Citlivosť bočného kanála
Výskumníci sa zamerali na typ urýchľovača strojového učenia nazývaný digitálny in-memory compute. Digitálny čip IMC vykonáva výpočty v pamäti zariadenia, kde sa ukladajú časti modelu strojového učenia po presunutí z centrálneho servera.
Celý model je príliš veľký na to, aby sa dal uložiť do zariadenia, ale jeho rozbitím na kúsky a ich opätovným použitím čo najviac znížia čipy IMC množstvo údajov, ktoré sa musia presúvať tam a späť.
Čipy IMC však môžu byť náchylné na hackerov. Pri útoku na bočnom kanáli hacker monitoruje spotrebu energie čipu a využíva štatistické techniky na spätné inžinierstvo údajov, keď čip počíta. Pri útoku na zbernicu môže hacker ukradnúť časti modelu a množiny údajov testovaním komunikácie medzi akcelerátorom a pamäťou mimo čipu.
Digitálne IMC urýchľuje výpočty vykonávaním miliónov operácií naraz, ale táto zložitosť sťažuje predchádzanie útokom pomocou tradičných bezpečnostných opatrení, hovorí Ashok.
Ona a jej spolupracovníci zvolili trojaký prístup k blokovaniu útokov na bočné kanály a zbernice.
Najprv použili bezpečnostné opatrenie, kde sú údaje v IMC rozdelené na náhodné časti. Napríklad bit nula môže byť rozdelený na tri bity, ktoré sa po logickej operácii stále rovnajú nule. IMC nikdy nepočíta so všetkými časťami v rovnakej operácii, takže útok bočným kanálom by nikdy nemohol rekonštruovať skutočné informácie.
Aby však táto technika fungovala, musia sa na rozdelenie údajov pridať náhodné bity. Pretože digitálny IMC vykonáva milióny operácií naraz, generovanie toľkých náhodných bitov by vyžadovalo príliš veľa výpočtov. Pre svoj čip našli výskumníci spôsob, ako zjednodušiť výpočty, čím uľahčia efektívne rozdelenie dát a zároveň eliminujú potrebu náhodných bitov.
Po druhé, zabránili útokom na zbernicu pomocou ľahkej šifry, ktorá zašifruje model uložený v pamäti mimo čipu. Táto ľahká šifra vyžaduje iba jednoduché výpočty. Kusy modelu uložené na čipe navyše dešifrovali len v prípade potreby.
Po tretie, na zlepšenie bezpečnosti vygenerovali kľúč, ktorý šifru dešifruje priamo na čipe, namiesto toho, aby ju posúvali tam a späť s modelom. Tento jedinečný kľúč vygenerovali z náhodných variácií čipu, ktoré sa zaviedli počas výroby, pomocou toho, čo je známe ako fyzicky neklonovateľná funkcia.
„Možno bude jeden drôt o niečo hrubší ako druhý. Tieto variácie môžeme použiť na získanie núl a jednotiek z obvodu. Pre každý čip môžeme získať náhodný kľúč, ktorý by mal byť konzistentný, pretože tieto náhodné vlastnosti by sa v priebehu času nemali výrazne meniť,“ vysvetľuje Ashok.
Znovu použili pamäťové bunky na čipe a využili nedokonalosti v týchto bunkách na vytvorenie kľúča. Vyžaduje to menej výpočtov ako generovanie kľúča od začiatku.
„Keďže bezpečnosť sa stala kritickým problémom pri navrhovaní okrajových zariadení, je potrebné vyvinúť kompletný systémový balík so zameraním na bezpečnú prevádzku. Táto práca sa zameriava na bezpečnosť pracovných úloh strojového učenia a popisuje digitálny procesor, ktorý využíva prierezovú optimalizáciu. Zahŕňa šifrovaný prístup k dátam medzi pamäťou a procesorom, prístupy na predchádzanie útokom na bočný kanál pomocou randomizácie a využíva variabilitu na generovanie jedinečných kódov. Takéto návrhy budú v budúcich mobilných zariadeniach rozhodujúce,“ hovorí Chandrakasan.
Testovanie bezpečnosti
Aby otestovali svoj čip, výskumníci prevzali úlohu hackerov a pokúsili sa ukradnúť tajné informácie pomocou útokov na bočný kanál a zbernice.
Ani po vykonaní miliónov pokusov nedokázali zrekonštruovať žiadne skutočné informácie ani extrahovať časti modelu alebo súboru údajov. Aj šifra zostala neprelomiteľná. Naproti tomu na odcudzenie informácií z nechráneného čipu bolo potrebných len asi 5,000 vzoriek.
Pridanie zabezpečenia znížilo energetickú účinnosť urýchľovača a vyžadovalo si aj väčšiu plochu čipu, čo by predražilo jeho výrobu.
Tím plánuje preskúmať metódy, ktoré by mohli v budúcnosti znížiť spotrebu energie a veľkosť ich čipu, čo by uľahčilo implementáciu vo veľkom meradle.
„Keďže je to príliš drahé, je ťažšie niekoho presvedčiť, že bezpečnosť je kritická. Budúca práca by mohla preskúmať tieto kompromisy. Možno by sme to mohli urobiť trochu menej bezpečným, ale jednoduchšie implementovateľným a lacnejším,“ hovorí Ashok.
Napísal Adam Zewe
