Raziskovalci so razvili varnostno rešitev s tem majhnim čipom za požrešne modele AI, ki nudi zaščito pred dvema pogostima napadoma.
Aplikacije za spremljanje zdravja lahko pomaga ljudem obvladati kronične bolezni ali ostati na pravi poti pri telesnih ciljih, pri čemer uporablja samo pametni telefon. Vendar pa so lahko te aplikacije počasne in energetsko neučinkovite, ker je treba obsežne modele strojnega učenja, ki jih poganjajo, premikati med pametnim telefonom in centralnim pomnilniškim strežnikom.
Inženirji pogosto pospešijo stvari z uporabo strojne opreme, ki zmanjša potrebo po premikanju toliko podatkov naprej in nazaj. Čeprav lahko ti pospeševalniki strojnega učenja poenostavijo računanje, so dovzetni za napadalce, ki lahko ukradejo tajne podatke.
Da bi zmanjšali to ranljivost, so raziskovalci iz MIT in MIT-IBM Watson AI Lab ustvarili pospeševalnik strojnega učenja, ki je odporen na dve najpogostejši vrsti napadov. Njihov čip lahko ohrani zasebnost uporabnikovih zdravstvenih kartotek, finančnih informacij ali drugih občutljivih podatkov, medtem ko še vedno omogoča učinkovito delovanje ogromnih modelov AI na napravah.
Ekipa je razvila več optimizacij, ki omogočajo močno varnost, hkrati pa le rahlo upočasnijo napravo. Poleg tega dodana varnost ne vpliva na točnost izračunov. Ta pospeševalnik strojnega učenja bi lahko bil še posebej koristen za zahtevne aplikacije AI, kot je razširjena in navidezna resničnost ali avtonomna vožnja.
Medtem ko bi uvedba čipa naredila napravo nekoliko dražjo in manj energetsko učinkovito, je to včasih vredna cena za varnost, pravi glavni avtor Maitreyi Ashok, podiplomski študent elektrotehnike in računalništva (EECS) na MIT.
»Pomembno je načrtovati z mislijo na varnost od začetka. Če poskušate dodati vsaj minimalno količino varnosti, potem ko je bil sistem zasnovan, je to pregrešno drago. Med fazo načrtovanja smo lahko učinkovito uravnotežili veliko teh kompromisov,« pravi Ashok.
Njeni soavtorji so Saurav Maji, podiplomski študent EECS; Xin Zhang in John Cohn iz MIT-IBM Watson AI Lab; in višja avtorica Anantha Chandrakasan, glavna direktorica za inovacije in strategijo MIT, dekanja Inženirske fakultete in profesorica Vannevar Bush na EECS. Raziskava bo predstavljena na konferenci IEEE Custom Integrated Circuits Conference.
Občutljivost stranskih kanalov
Raziskovalci so ciljali na vrsto pospeševalnika strojnega učenja, imenovano digitalno računanje v pomnilniku. Digitalni čip IMC izvaja izračune v pomnilniku naprave, kjer so shranjeni deli modela strojnega učenja, potem ko se premaknejo iz osrednjega strežnika.
Celoten model je prevelik za shranjevanje v napravi, vendar čipi IMC z razdelitvijo na dele in čim večjo ponovno uporabo teh kosov zmanjšajo količino podatkov, ki jih je treba premikati naprej in nazaj.
Toda čipi IMC so lahko dovzetni za hekerje. Pri napadu s stranskega kanala heker spremlja porabo energije čipa in uporablja statistične tehnike za povratno inženirstvo podatkov, ko čip računa. Pri napadu s sondiranjem vodila lahko heker ukrade delčke modela in nabora podatkov s sondiranjem komunikacije med pospeševalnikom in pomnilnikom zunaj čipa.
Digitalni IMC pospeši računanje z izvajanjem milijonov operacij hkrati, vendar je zaradi te kompleksnosti težko preprečiti napade s tradicionalnimi varnostnimi ukrepi, pravi Ashok.
Ona in njeni sodelavci so ubrali tristranski pristop k blokiranju napadov na stranskih kanalih in sondiranju vodila.
Najprej so uporabili varnostni ukrep, kjer so podatki v IMC razdeljeni na naključne dele. Na primer, bit nič se lahko razdeli na tri bite, ki so po logični operaciji še vedno enaki nič. IMC nikoli ne računa z vsemi deli v isti operaciji, tako da napad na stranskem kanalu nikoli ne bi mogel rekonstruirati pravih informacij.
Da pa ta tehnika deluje, je treba dodati naključne bite za razdelitev podatkov. Ker digitalni IMC izvaja na milijone operacij hkrati, bi ustvarjanje toliko naključnih bitov zahtevalo preveč računalništva. Raziskovalci so za svoj čip našli način za poenostavitev izračunov, kar olajša učinkovito razdelitev podatkov, hkrati pa odpravi potrebo po naključnih bitih.
Drugič, preprečili so napade s sondiranjem vodil z uporabo lahke šifre, ki šifrira model, shranjen v pomnilniku zunaj čipa. Ta lahka šifra zahteva le preproste izračune. Poleg tega so po potrebi dešifrirali le dele modela, shranjene na čipu.
Tretjič, da bi izboljšali varnost, so ustvarili ključ, ki dešifrira šifro neposredno na čipu, namesto da bi ga premikali naprej in nazaj z modelom. Ta edinstven ključ so ustvarili iz naključnih variacij v čipu, ki so bile uvedene med proizvodnjo, z uporabo funkcije, ki je znana kot fizično neklonirana.
»Mogoče bo ena žica nekoliko debelejša od druge. Te različice lahko uporabimo, da dobimo ničle in enice iz vezja. Za vsak čip lahko dobimo naključni ključ, ki mora biti dosleden, ker se te naključne lastnosti s časom ne bi smele bistveno spremeniti,« pojasnjuje Ashok.
Ponovno so uporabili pomnilniške celice na čipu in izkoristili nepopolnosti v teh celicah za ustvarjanje ključa. To zahteva manj računanja kot generiranje ključa iz nič.
»Ker je varnost postala kritično vprašanje pri načrtovanju robnih naprav, je treba razviti celoten sistemski sklad, ki se osredotoča na varno delovanje. To delo se osredotoča na varnost delovnih obremenitev strojnega učenja in opisuje digitalni procesor, ki uporablja medsektorsko optimizacijo. Vključuje šifriran dostop do podatkov med pomnilnikom in procesorjem, pristope k preprečevanju napadov stranskih kanalov z uporabo randomizacije in izkoriščanje spremenljivosti za ustvarjanje edinstvenih kod. Takšne zasnove bodo ključnega pomena v prihodnjih mobilnih napravah,« pravi Chandrakasan.
Testiranje varnosti
Da bi preizkusili svoj čip, so raziskovalci prevzeli vlogo hekerjev in poskušali ukrasti tajne podatke z uporabo stranskih kanalov in napadov na vodilo.
Tudi po milijonih poskusih niso mogli rekonstruirati nobene prave informacije ali izluščiti delov modela ali nabora podatkov. Tudi šifra je ostala nezlomljiva. Nasprotno pa je bilo potrebnih le približno 5,000 vzorcev za krajo informacij z nezaščitenega čipa.
Dodatek varnosti je zmanjšal energetsko učinkovitost pospeševalnika, zahteval pa je tudi večjo površino čipa, zaradi česar bi bila njegova izdelava dražja.
Ekipa namerava raziskati metode, ki bi lahko v prihodnosti zmanjšale porabo energije in velikost njihovega čipa, kar bi olajšalo implementacijo v velikem obsegu.
»Ko postane predrago, postane nekoga težje prepričati, da je varnost ključnega pomena. Prihodnje delo bi lahko raziskalo te kompromise. Mogoče bi ga lahko naredili nekoliko manj varnega, a lažjega za implementacijo in cenejšega,« pravi Ashok.
Napisal Adam Zewe
