นักวิจัยได้พัฒนาโซลูชันด้านความปลอดภัยด้วยชิปขนาดเล็กนี้สำหรับโมเดล AI ที่ต้องการพลังงาน ซึ่งให้การป้องกันการโจมตีทั่วไปสองครั้ง
แอพติดตามสุขภาพ สามารถช่วยให้ผู้คนจัดการกับโรคเรื้อรังหรือรักษาเป้าหมายการออกกำลังกายได้โดยไม่ต้องใช้อะไรมากไปกว่าสมาร์ทโฟน อย่างไรก็ตาม แอปเหล่านี้อาจทำงานช้าและไม่ประหยัดพลังงาน เนื่องจากโมเดลการเรียนรู้ของเครื่องจำนวนมากที่ขับเคลื่อนแอปเหล่านี้จะต้องเชื่อมต่อระหว่างสมาร์ทโฟนและเซิร์ฟเวอร์หน่วยความจำกลาง
วิศวกรมักจะเร่งความเร็วสิ่งต่างๆ โดยใช้ฮาร์ดแวร์ที่ช่วยลดความจำเป็นในการย้ายข้อมูลจำนวนมากกลับไปกลับมา แม้ว่าตัวเร่งความเร็วการเรียนรู้ของเครื่องจักรเหล่านี้สามารถปรับปรุงการคำนวณได้ แต่ก็เสี่ยงต่อผู้โจมตีที่สามารถขโมยข้อมูลลับได้
เพื่อลดความเสี่ยงนี้ นักวิจัยจาก MIT และ MIT-IBM Watson AI Lab ได้สร้างตัวเร่งความเร็วการเรียนรู้ของเครื่องที่ทนทานต่อการโจมตีสองประเภทที่พบบ่อยที่สุด ชิปของพวกเขาสามารถเก็บบันทึกสุขภาพของผู้ใช้ ข้อมูลทางการเงิน หรือข้อมูลที่ละเอียดอ่อนอื่นๆ ไว้เป็นส่วนตัว ในขณะที่ยังคงทำให้โมเดล AI ขนาดใหญ่ทำงานบนอุปกรณ์ได้อย่างมีประสิทธิภาพ
ทีมงานพัฒนาการปรับปรุงหลายอย่างที่ช่วยให้มีความปลอดภัยสูงในขณะที่อุปกรณ์ทำงานช้าลงเพียงเล็กน้อยเท่านั้น นอกจากนี้ การรักษาความปลอดภัยที่เพิ่มเข้ามาจะไม่ส่งผลกระทบต่อความแม่นยำของการคำนวณ ตัวเร่งความเร็วการเรียนรู้ของเครื่องจักรนี้อาจเป็นประโยชน์อย่างยิ่งสำหรับความต้องการแอปพลิเคชัน AI เช่น Augmented และ Virtual Reality หรือการขับขี่แบบอัตโนมัติ
แม้ว่าการใช้ชิปจะทำให้อุปกรณ์มีราคาแพงขึ้นเล็กน้อยและประหยัดพลังงานน้อยลง ซึ่งบางครั้งก็คุ้มค่าที่จะจ่ายเพื่อความปลอดภัย Maitreyi Ashok ผู้เขียนนำ นักศึกษาระดับบัณฑิตศึกษาสาขาวิศวกรรมไฟฟ้าและวิทยาการคอมพิวเตอร์ (EECS) จาก MIT กล่าว
“การออกแบบโดยคำนึงถึงความปลอดภัยตั้งแต่เริ่มต้นเป็นสิ่งสำคัญ หากคุณกำลังพยายามเพิ่มการรักษาความปลอดภัยแม้เพียงเล็กน้อยหลังจากออกแบบระบบแล้ว ก็จะถือว่ามีราคาแพงมาก เราสามารถสร้างสมดุลระหว่างข้อดีข้อเสียเหล่านี้ได้อย่างมีประสิทธิภาพในระหว่างขั้นตอนการออกแบบ” Ashok กล่าว
ผู้ร่วมเขียนของเธอ ได้แก่ Saurav Maji นักศึกษาระดับบัณฑิตศึกษาของ EECS; Xin Zhang และ John Cohn จาก MIT-IBM Watson AI Lab; และผู้เขียนอาวุโส Anantha Chandrakasan หัวหน้าเจ้าหน้าที่ฝ่ายนวัตกรรมและกลยุทธ์ของ MIT คณบดีคณะวิศวกรรมศาสตร์ และศาสตราจารย์ Vannevar Bush จาก EECS งานวิจัยนี้จะถูกนำเสนอในการประชุม IEEE Custom Integrated Circuits Conference
ความอ่อนแอของช่องด้านข้าง
นักวิจัยตั้งเป้าไปที่ตัวเร่งการเรียนรู้ด้วยเครื่องจักรประเภทหนึ่งที่เรียกว่าการประมวลผลในหน่วยความจำดิจิทัล ชิป IMC แบบดิจิทัลทำการคำนวณภายในหน่วยความจำของอุปกรณ์ โดยที่ชิ้นส่วนของโมเดลแมชชีนเลิร์นนิงจะถูกจัดเก็บไว้หลังจากถูกย้ายจากเซิร์ฟเวอร์กลาง
โมเดลทั้งหมดมีขนาดใหญ่เกินกว่าจะจัดเก็บไว้ในอุปกรณ์ แต่เมื่อแยกออกเป็นชิ้นๆ แล้วนำชิ้นส่วนเหล่านั้นกลับมาใช้ใหม่ให้มากที่สุดเท่าที่จะเป็นไปได้ ชิป IMC จะช่วยลดปริมาณข้อมูลที่ต้องเคลื่อนย้ายไปมา
แต่ชิป IMC อาจเสี่ยงต่อแฮกเกอร์ได้ ในการโจมตีช่องทางด้านข้าง แฮกเกอร์จะตรวจสอบการใช้พลังงานของชิป และใช้เทคนิคทางสถิติเพื่อวิศวกรรมย้อนกลับข้อมูลในขณะที่ชิปคำนวณ ในการโจมตีแบบตรวจสอบบัส แฮกเกอร์สามารถขโมยบิตของโมเดลและชุดข้อมูลโดยการตรวจสอบการสื่อสารระหว่างตัวเร่งความเร็วและหน่วยความจำนอกชิป
Digital IMC เพิ่มความเร็วในการคำนวณโดยดำเนินการหลายล้านรายการในคราวเดียว แต่ความซับซ้อนนี้ทำให้การป้องกันการโจมตีโดยใช้มาตรการรักษาความปลอดภัยแบบดั้งเดิมทำได้ยาก Ashok กล่าว
เธอและผู้ร่วมงานของเธอใช้แนวทางสามทางในการบล็อกการโจมตีช่องทางด้านข้างและการตรวจสอบรถบัส
ประการแรก พวกเขาใช้มาตรการรักษาความปลอดภัยโดยแบ่งข้อมูลใน IMC ออกเป็นชิ้นๆ แบบสุ่ม ตัวอย่างเช่น บิตศูนย์อาจถูกแบ่งออกเป็นสามบิตซึ่งยังคงเท่ากับศูนย์หลังจากการดำเนินการทางลอจิคัล IMC ไม่เคยคำนวณทุกชิ้นในการดำเนินการเดียวกัน ดังนั้นการโจมตีช่องทางด้านข้างจึงไม่สามารถสร้างข้อมูลที่แท้จริงขึ้นมาใหม่ได้
แต่เพื่อให้เทคนิคนี้ใช้งานได้ จะต้องเพิ่มบิตสุ่มเพื่อแยกข้อมูล เนื่องจาก IMC ดิจิทัลดำเนินการหลายล้านรายการพร้อมกัน การสร้างบิตสุ่มจำนวนมากจึงเกี่ยวข้องกับการประมวลผลมากเกินไป สำหรับชิปของพวกเขา นักวิจัยได้ค้นพบวิธีที่จะทำให้การคำนวณง่ายขึ้น ทำให้ง่ายต่อการแบ่งข้อมูลอย่างมีประสิทธิภาพในขณะที่ไม่จำเป็นต้องใช้บิตสุ่ม
ประการที่สอง พวกเขาป้องกันการโจมตีแบบตรวจสอบบัสโดยใช้การเข้ารหัสแบบน้ำหนักเบาที่เข้ารหัสโมเดลที่จัดเก็บไว้ในหน่วยความจำนอกชิป การเข้ารหัสแบบน้ำหนักเบานี้ต้องใช้การคำนวณแบบง่ายๆ เท่านั้น นอกจากนี้ พวกเขาจะถอดรหัสเฉพาะชิ้นส่วนของโมเดลที่จัดเก็บไว้ในชิปเมื่อจำเป็นเท่านั้น
ประการที่สาม เพื่อปรับปรุงความปลอดภัย พวกเขาสร้างคีย์ที่ถอดรหัสรหัสบนชิปโดยตรง แทนที่จะย้ายไปมากับโมเดล พวกเขาสร้างคีย์ที่ไม่ซ้ำใครนี้จากการสุ่มรูปแบบในชิปที่ถูกนำมาใช้ในระหว่างการผลิต โดยใช้สิ่งที่เรียกว่าฟังก์ชันที่ไม่สามารถโคลนได้ทางกายภาพ
“บางทีลวดเส้นหนึ่งอาจจะหนากว่าอีกเส้นเล็กน้อย เราสามารถใช้รูปแบบเหล่านี้เพื่อเอาศูนย์และค่าออกจากวงจรได้ สำหรับชิปทุกตัว เราจะได้รับคีย์สุ่มที่ควรสอดคล้องกัน เนื่องจากคุณสมบัติสุ่มเหล่านี้ไม่ควรเปลี่ยนแปลงอย่างมีนัยสำคัญเมื่อเวลาผ่านไป” Ashok อธิบาย
พวกเขานำเซลล์หน่วยความจำบนชิปกลับมาใช้ใหม่ โดยใช้ประโยชน์จากความไม่สมบูรณ์ในเซลล์เหล่านี้เพื่อสร้างคีย์ ซึ่งต้องใช้การคำนวณน้อยกว่าการสร้างคีย์ตั้งแต่เริ่มต้น
“เนื่องจากการรักษาความปลอดภัยกลายเป็นประเด็นสำคัญในการออกแบบอุปกรณ์ Edge จึงมีความจำเป็นในการพัฒนาระบบสแต็กที่สมบูรณ์โดยเน้นที่การทำงานที่ปลอดภัย งานนี้มุ่งเน้นไปที่การรักษาความปลอดภัยสำหรับปริมาณงานการเรียนรู้ของเครื่องและอธิบายโปรเซสเซอร์ดิจิทัลที่ใช้การปรับให้เหมาะสมแบบ cross-cutting ประกอบด้วยการเข้าถึงข้อมูลที่เข้ารหัสระหว่างหน่วยความจำและโปรเซสเซอร์ วิธีการป้องกันการโจมตีช่องทางด้านข้างโดยใช้การสุ่ม และการใช้ประโยชน์จากความแปรปรวนเพื่อสร้างรหัสที่ไม่ซ้ำกัน การออกแบบดังกล่าวจะมีความสำคัญอย่างยิ่งต่ออุปกรณ์พกพาในอนาคต” จันทรกะสันกล่าว
การทดสอบความปลอดภัย
เพื่อทดสอบชิปของพวกเขา นักวิจัยสวมบทบาทเป็นแฮกเกอร์และพยายามขโมยข้อมูลลับโดยใช้การโจมตีแบบ side-channel และแบบทดสอบบัส
แม้จะพยายามนับล้านครั้งแล้วก็ตาม พวกเขาก็ไม่สามารถสร้างข้อมูลจริงขึ้นมาใหม่หรือแยกส่วนต่างๆ ของโมเดลหรือชุดข้อมูลได้ รหัสยังคงไม่สามารถแตกหักได้ ในทางตรงกันข้าม มีการใช้ตัวอย่างเพียงประมาณ 5,000 ตัวอย่างในการขโมยข้อมูลจากชิปที่ไม่มีการป้องกัน
การเพิ่มความปลอดภัยได้ลดประสิทธิภาพการใช้พลังงานของคันเร่ง และยังต้องใช้พื้นที่ชิปที่ใหญ่ขึ้น ซึ่งจะทำให้ต้นทุนในการผลิตสูงขึ้น
ทีมงานกำลังวางแผนที่จะสำรวจวิธีการต่างๆ ที่สามารถลดการใช้พลังงานและขนาดของชิปได้ในอนาคต ซึ่งจะทำให้ง่ายต่อการนำไปใช้ในวงกว้าง
“เนื่องจากมีราคาแพงเกินไป การโน้มน้าวใจใครสักคนว่าความปลอดภัยเป็นสิ่งสำคัญจึงเป็นเรื่องยากขึ้น งานในอนาคตสามารถสำรวจข้อดีข้อเสียเหล่านี้ได้ บางทีเราอาจทำให้ความปลอดภัยน้อยลงเล็กน้อย แต่นำไปใช้ได้ง่ายขึ้นและราคาถูกลง” Ashok กล่าว
เขียนโดย อดัม ซวี
