Forskare har utvecklat en säkerhetslösning med detta lilla chip för kraftkrävande AI-modeller som erbjuder skydd mot två vanliga attacker.
Hälsoövervakningsappar kan hjälpa människor att hantera kroniska sjukdomar eller hålla sig på rätt spår med träningsmål, utan att använda något annat än en smartphone. Dessa appar kan dock vara långsamma och energiineffektiva eftersom de enorma maskininlärningsmodellerna som driver dem måste flyttas mellan en smartphone och en central minnesserver.
Ingenjörer påskyndar ofta saker med hårdvara som minskar behovet av att flytta så mycket data fram och tillbaka. Även om dessa maskininlärningsacceleratorer kan effektivisera beräkningen, är de mottagliga för angripare som kan stjäla hemlig information.
För att minska denna sårbarhet skapade forskare från MIT och MIT-IBM Watson AI Lab en accelerator för maskininlärning som är resistent mot de två vanligaste typerna av attacker. Deras chip kan hålla en användares hälsojournaler, finansiella information eller andra känsliga uppgifter privata samtidigt som de gör det möjligt för enorma AI-modeller att köras effektivt på enheter.
Teamet utvecklade flera optimeringar som möjliggör stark säkerhet samtidigt som enheten bara saktar ner något. Dessutom påverkar inte den extra säkerheten beräkningarnas noggrannhet. Denna maskininlärningsaccelerator kan vara särskilt fördelaktig för krävande AI-applikationer som förstärkt och virtuell verklighet eller autonom körning.
Medan implementeringen av chippet skulle göra en enhet något dyrare och mindre energieffektiv, är det ibland ett värdefullt pris att betala för säkerheten, säger huvudförfattaren Maitreyi Ashok, doktorand i elektroteknik och datavetenskap (EECS) vid MIT.
”Det är viktigt att designa med säkerhet i åtanke från grunden. Om du försöker lägga till ens en minimal mängd säkerhet efter att ett system har designats, är det oöverkomligt dyrt. Vi kunde effektivt balansera många av dessa kompromisser under designfasen, säger Ashok.
Bland hennes medförfattare finns Saurav Maji, en EECS-student; Xin Zhang och John Cohn från MIT-IBM Watson AI Lab; och seniorförfattaren Anantha Chandrakasan, MIT:s chefschef för innovation och strategi, dekanus för School of Engineering, och Vannevar Bush-professorn i EECS. Forskningen kommer att presenteras på IEEE Custom Integrated Circuits Conference.
Sidokanalkänslighet
Forskarna riktade in sig på en typ av maskininlärningsaccelerator som kallas digital in-memory compute. Ett digitalt IMC-chip utför beräkningar i en enhets minne, där delar av en maskininlärningsmodell lagras efter att ha flyttats över från en central server.
Hela modellen är för stor för att lagra på enheten, men genom att dela upp den i bitar och återanvända delarna så mycket som möjligt minskar IMC-chips mängden data som måste flyttas fram och tillbaka.
Men IMC-chips kan vara mottagliga för hackare. I en sidokanalsattack övervakar en hacker chipets strömförbrukning och använder statistiska tekniker för att omvända manipulera data när chippet beräknar. I en bus-probing-attack kan hackaren stjäla bitar av modellen och datauppsättningen genom att sondera kommunikationen mellan acceleratorn och off-chip-minnet.
Digital IMC påskyndar beräkningen genom att utföra miljontals operationer samtidigt, men denna komplexitet gör det svårt att förhindra attacker med traditionella säkerhetsåtgärder, säger Ashok.
Hon och hennes medarbetare tog ett tredelat tillvägagångssätt för att blockera sidokanal- och bussundersökningsattacker.
Först använde de en säkerhetsåtgärd där data i IMC delas upp i slumpmässiga bitar. Till exempel kan en bit noll delas upp i tre bitar som fortfarande är lika med noll efter en logisk operation. IMC beräknar aldrig med alla delar i samma operation, så en sidokanalattack kunde aldrig rekonstruera den verkliga informationen.
Men för att denna teknik ska fungera måste slumpmässiga bitar läggas till för att dela upp data. Eftersom digital IMC utför miljontals operationer samtidigt, skulle generering av så många slumpmässiga bitar innebära för mycket beräkning. För deras chip hittade forskarna ett sätt att förenkla beräkningar, vilket gör det lättare att effektivt dela upp data samtidigt som behovet av slumpmässiga bitar elimineras.
För det andra förhindrade de bus-probing-attacker med hjälp av ett lätt chiffer som krypterar modellen lagrad i off-chip-minne. Detta lätta chiffer kräver bara enkla beräkningar. Dessutom dekrypterade de bara delarna av modellen som lagrats på chippet när det behövdes.
För det tredje, för att förbättra säkerheten genererade de nyckeln som dekrypterar chifferet direkt på chippet, istället för att flytta det fram och tillbaka med modellen. De genererade denna unika nyckel från slumpmässiga variationer i chipet som introduceras under tillverkningen, med hjälp av en så kallad fysiskt oklonbar funktion.
"Kanske en tråd kommer att vara lite tjockare än en annan. Vi kan använda dessa variationer för att få nollor och ettor ur en krets. För varje chip kan vi få en slumpmässig nyckel som bör vara konsekvent eftersom dessa slumpmässiga egenskaper inte bör förändras nämnvärt över tiden”, förklarar Ashok.
De återanvände minnescellerna på chippet och utnyttjade bristerna i dessa celler för att generera nyckeln. Detta kräver mindre beräkning än att generera en nyckel från början.
"Eftersom säkerhet har blivit en kritisk fråga i designen av edge-enheter finns det ett behov av att utveckla en komplett systemstack med fokus på säker drift. Detta arbete fokuserar på säkerhet för maskinlärande arbetsbelastningar och beskriver en digital processor som använder tvärgående optimering. Den innehåller krypterad dataåtkomst mellan minne och processor, metoder för att förhindra sidokanalattacker med randomisering och utnyttjande av variation för att generera unika koder. Sådana konstruktioner kommer att vara avgörande i framtida mobila enheter, säger Chandrakasan.
Säkerhetstestning
För att testa sitt chip tog forskarna på sig rollen som hackare och försökte stjäla hemlig information med hjälp av sidokanal- och bussundersökningsattacker.
Även efter att ha gjort miljontals försök kunde de inte rekonstruera någon riktig information eller extrahera delar av modellen eller datasetet. Chifferet förblev också okrossbart. Däremot tog det bara cirka 5,000 XNUMX prover för att stjäla information från ett oskyddat chip.
Tillägget av säkerhet minskade energieffektiviteten hos acceleratorn, och det krävde också en större chiparea, vilket skulle göra den dyrare att tillverka.
Teamet planerar att utforska metoder som kan minska energiförbrukningen och storleken på deras chip i framtiden, vilket skulle göra det lättare att implementera i stor skala.
”Eftersom det blir för dyrt blir det svårare att övertyga någon om att säkerheten är avgörande. Framtida arbete skulle kunna utforska dessa kompromisser. Kanske skulle vi kunna göra det lite mindre säkert men lättare att implementera och billigare, säger Ashok.
Skrivet av Adam Zewe
