Истраживачи су развили безбедносно решење са овим сићушним чипом за АИ моделе гладне енергије које нуди заштиту од два уобичајена напада.
Апликације за праћење здравља може помоћи људима да управљају хроничним болестима или да остану на правом путу са циљевима фитнеса, користећи само паметни телефон. Међутим, ове апликације могу бити споре и енергетски неефикасне јер се огромни модели машинског учења који их покрећу морају пребацивати између паметног телефона и централног меморијског сервера.
Инжењери често убрзавају ствари користећи хардвер који смањује потребу за премештањем толико података напред-назад. Иако ови акцелератори машинског учења могу да поједноставе рачунање, они су подложни нападачима који могу украсти тајне информације.
Да би смањили ову рањивост, истраживачи са МИТ-а и МИТ-ИБМ Ватсон АИ Лаб креирали су акцелератор машинског учења који је отпоран на две најчешће врсте напада. Њихов чип може да чува здравствену евиденцију корисника, финансијске информације или друге осетљиве податке приватним, истовремено омогућавајући огромним АИ моделима да ефикасно раде на уређајима.
Тим је развио неколико оптимизација које омогућавају јаку сигурност док само мало успоравају уређај. Штавише, додатна сигурност не утиче на тачност прорачуна. Овај акцелератор за машинско учење могао би бити посебно користан за захтевне АИ апликације као што су проширена и виртуелна стварност или аутономна вожња.
Иако би имплементација чипа учинила уређај нешто скупљим и мање енергетски ефикасним, то је понекад исплатива цена за сигурност, каже главни аутор Маитреии Асхок, дипломирани студент електротехнике и рачунарства (ЕЕЦС) на МИТ-у.
„Важно је дизајнирати имајући на уму сигурност од самог почетка. Ако покушавате да додате чак и минималну количину сигурности након што је систем дизајниран, то је претјерано скупо. Били смо у могућности да ефикасно избалансирамо многе од ових компромиса током фазе дизајна“, каже Асхок.
Њени коаутори су Саурав Маји, дипломирани студент ЕЕЦС; Ксин Зханг и Јохн Цохн из МИТ-ИБМ Ватсон АИ Лаб; и старији аутор Анантха Цхандракасан, главни директор за иновације и стратегију МИТ-а, декан Факултета инжењеринга и Ванневар Бусх професор ЕЕЦС-а. Истраживање ће бити представљено на ИЕЕЕ Цустом Интегратед Цирцуитс Цонференце.
Осетљивост бочних канала
Истраживачи су циљали на тип акцелератора машинског учења који се зове дигитално рачунање у меморији. Дигитални ИМЦ чип обавља прорачуне унутар меморије уређаја, где се делови модела машинског учења чувају након што се пребаце са централног сервера.
Цео модел је превелик за складиштење на уређају, али разбијањем на делове и поновним коришћењем тих делова што је више могуће, ИМЦ чипови смањују количину података који се морају померати напред-назад.
Али ИМЦ чипови могу бити подложни хакерима. У нападу на бочни канал, хакер прати потрошњу енергије чипа и користи статистичке технике за обрнути инжењеринг података док чип израчунава. У нападу испитивањем магистрале, хакер може да украде битове модела и скупа података испитивањем комуникације између акцелератора и меморије ван чипа.
Дигитални ИМЦ убрзава рачунање изводећи милионе операција одједном, али ова сложеност отежава спречавање напада коришћењем традиционалних безбедносних мера, каже Асхок.
Она и њени сарадници заузели су троструки приступ блокирању напада са стране канала и сондирања аутобуса.
Прво, применили су безбедносну меру где се подаци у ИМЦ-у деле на насумичне делове. На пример, бит нула може бити подељен на три бита који су и даље једнаки нули након логичке операције. ИМЦ никада не рачуна са свим деловима у истој операцији, тако да напад са стране канала никада не би могао да реконструише праве информације.
Али да би ова техника функционисала, морају се додати насумични битови да би се подаци поделили. Пошто дигитални ИМЦ обавља милионе операција одједном, генерисање толиког броја насумичних битова захтевало би превише рачунарства. За свој чип, истраживачи су пронашли начин да поједноставе прорачуне, олакшавајући ефективно раздвајање података док елиминишу потребу за насумичним битовима.
Друго, спречили су нападе испитивањем магистрале користећи лагану шифру која шифрује модел ускладиштен у меморији ван чипа. Ова лагана шифра захтева само једноставне прорачуне. Поред тога, дешифровали су само делове модела ускладиштене на чипу када је то било потребно.
Треће, да би побољшали безбедност, генерисали су кључ који дешифрује шифру директно на чипу, уместо да је помера напред-назад са моделом. Они су генерисали овај јединствени кључ из насумичних варијација у чипу које су уведене током производње, користећи оно што је познато као функција која се физички не може клонирати.
„Можда ће једна жица бити мало дебља од друге. Можемо користити ове варијације да извучемо нуле и јединице из кола. За сваки чип можемо добити насумични кључ који треба да буде конзистентан јер се ове насумичне особине не би требало значајно мењати током времена“, објашњава Асхок.
Поново су користили меморијске ћелије на чипу, користећи несавршености у овим ћелијама да би генерисали кључ. Ово захтева мање прорачуна него генерисање кључа од нуле.
„Пошто је безбедност постала критично питање у дизајну ивичних уређаја, постоји потреба да се развије комплетан систем који се фокусира на сигуран рад. Овај рад се фокусира на безбедност за радна оптерећења машинског учења и описује дигитални процесор који користи оптимизацију за различите сегменте. Укључује шифровани приступ подацима између меморије и процесора, приступе спречавању напада са стране канала коришћењем насумице и искоришћавање варијабилности за генерисање јединствених кодова. Такви дизајни ће бити критични у будућим мобилним уређајима“, каже Цхандракасан.
Испитивање безбедности
Да би тестирали свој чип, истраживачи су преузели улогу хакера и покушали да украду тајне информације користећи нападе бочним каналима и испитивањем аутобуса.
Чак и након што су направили милионе покушаја, нису могли да реконструишу ниједну стварну информацију или да издвоје делове модела или скупа података. Шифра је такође остала нераскидива. Насупрот томе, било је потребно само око 5,000 узорака да се украду информације са незаштићеног чипа.
Додатак сигурности је смањио енергетску ефикасност акцелератора, а такође је захтевао већу површину чипа, што би поскупило његову производњу.
Тим планира да истражи методе које би могле да смање потрошњу енергије и величину њиховог чипа у будућности, што би олакшало имплементацију у великим размерама.
„Како постаје прескупо, постаје теже убедити некога да је безбедност критична. Будући рад би могао истражити ове компромисе. Можда бисмо могли да га учинимо мало мање сигурним, али лакшим за имплементацију и јефтинијим“, каже Асхок.
Написао Адам Зеве
