Ang mga mananaliksik ay nakabuo ng solusyon sa seguridad gamit ang maliit na chip na ito para sa power-hungry na AI models na nag-aalok ng proteksyon laban sa dalawang karaniwang pag-atake.
Mga app sa pagsubaybay sa kalusugan ay maaaring makatulong sa mga tao na pamahalaan ang mga malalang sakit o manatiling nakasubaybay sa mga layunin sa fitness, gamit ang walang iba kundi isang smartphone. Gayunpaman, maaaring mabagal at hindi matipid sa enerhiya ang mga app na ito dahil ang malalaking modelo ng machine-learning na nagpapagana sa mga ito ay dapat na i-shuttle sa pagitan ng isang smartphone at isang central memory server.
Kadalasang pinapabilis ng mga inhinyero ang mga bagay gamit ang hardware na nagpapababa sa pangangailangang ilipat ang napakaraming data pabalik-balik. Bagama't ang mga machine-learning accelerator na ito ay maaaring i-streamline ang pagkalkula, sila ay madaling kapitan ng mga umaatake na maaaring magnakaw ng lihim na impormasyon.
Upang mabawasan ang kahinaang ito, ang mga mananaliksik mula sa MIT at ang MIT-IBM Watson AI Lab ay lumikha ng isang machine-learning accelerator na lumalaban sa dalawang pinakakaraniwang uri ng pag-atake. Maaaring panatilihing pribado ng kanilang chip ang mga rekord ng kalusugan, impormasyon sa pananalapi, o iba pang sensitibong data ng user habang pinapagana pa rin ang malalaking modelo ng AI na tumakbo nang mahusay sa mga device.
Ang koponan ay bumuo ng ilang mga pag-optimize na nagbibigay-daan sa malakas na seguridad habang bahagyang nagpapabagal sa device. Bukod dito, ang karagdagang seguridad ay hindi nakakaapekto sa katumpakan ng mga pagkalkula. Ang machine-learning accelerator na ito ay maaaring maging partikular na kapaki-pakinabang para sa paghingi ng mga AI application tulad ng augmented at virtual reality o autonomous na pagmamaneho.
Bagama't ang pagpapatupad ng chip ay gagawing bahagyang mas mahal ang isang device at hindi gaanong matipid sa enerhiya, kung minsan ay isang sulit na presyong babayaran para sa seguridad, sabi ng lead author na si Maitreyi Ashok, isang electrical engineering at computer science (EECS) na nagtapos na mag-aaral sa MIT.
"Mahalagang magdisenyo nang may seguridad sa isip mula sa simula. Kung sinusubukan mong magdagdag ng kahit kaunting halaga ng seguridad pagkatapos maidisenyo ang isang system, ito ay napakamahal. Nagawa naming epektibong balansehin ang maraming mga tradeoff na ito sa yugto ng disenyo, "sabi ni Ashok.
Kasama sa kanyang mga co-authors si Saurav Maji, isang EECS graduate student; Xin Zhang at John Cohn ng MIT-IBM Watson AI Lab; at senior author na si Anantha Chandrakasan, punong innovation at strategy officer ng MIT, dean ng School of Engineering, at ang Vannevar Bush Professor ng EECS. Ang pananaliksik ay ipapakita sa IEEE Custom Integrated Circuits Conference.
Pagkasensitibo sa side-channel
Tina-target ng mga mananaliksik ang isang uri ng machine-learning accelerator na tinatawag na digital in-memory compute. Ang isang digital IMC chip ay nagsasagawa ng mga pag-compute sa loob ng memorya ng isang device, kung saan ang mga piraso ng isang machine-learning na modelo ay iniimbak pagkatapos na ilipat mula sa isang sentral na server.
Masyadong malaki ang buong modelo para iimbak sa device, ngunit sa pamamagitan ng paghahati-hati nito at muling paggamit ng mga piraso hangga't maaari, binabawasan ng mga IMC chip ang dami ng data na dapat ilipat pabalik-balik.
Ngunit ang IMC chips ay maaaring madaling kapitan ng mga hacker. Sa isang side-channel na pag-atake, sinusubaybayan ng isang hacker ang pagkonsumo ng kuryente ng chip at gumagamit ng mga istatistikal na pamamaraan upang i-reverse-engineer ang data habang nagko-compute ang chip. Sa isang pag-atake sa bus-probing, ang hacker ay maaaring magnakaw ng mga piraso ng modelo at dataset sa pamamagitan ng pagsusuri sa komunikasyon sa pagitan ng accelerator at ng off-chip na memorya.
Pinapabilis ng Digital IMC ang pagkalkula sa pamamagitan ng pagsasagawa ng milyun-milyong operasyon nang sabay-sabay, ngunit ang pagiging kumplikadong ito ay nagpapahirap sa pagpigil sa mga pag-atake gamit ang mga tradisyunal na hakbang sa seguridad, sabi ni Ashok.
Siya at ang kanyang mga collaborator ay gumawa ng tatlong-pronged na diskarte sa pagharang sa side-channel at pag-atake ng bus-probing.
Una, gumamit sila ng panukalang panseguridad kung saan ang data sa IMC ay nahahati sa mga random na piraso. Halimbawa, maaaring hatiin ang kaunting zero sa tatlong bit na katumbas pa rin ng zero pagkatapos ng lohikal na operasyon. Ang IMC ay hindi kailanman nagko-compute sa lahat ng mga piraso sa parehong operasyon, kaya ang isang side-channel na pag-atake ay hindi na muling mabubuo ang tunay na impormasyon.
Ngunit para gumana ang diskarteng ito, kailangang magdagdag ng mga random na bit upang hatiin ang data. Dahil ang digital IMC ay nagsasagawa ng milyun-milyong operasyon nang sabay-sabay, ang pagbuo ng napakaraming random na bit ay magsasangkot ng masyadong maraming pag-compute. Para sa kanilang chip, nakahanap ang mga mananaliksik ng isang paraan upang gawing simple ang mga pagkalkula, na ginagawang mas madali ang epektibong paghahati ng data habang inaalis ang pangangailangan para sa mga random na piraso.
Pangalawa, pinigilan nila ang mga pag-atake ng bus-probing gamit ang isang magaan na cipher na nag-e-encrypt sa modelong naka-imbak sa memorya ng off-chip. Ang magaan na cipher na ito ay nangangailangan lamang ng mga simpleng pag-compute. Bilang karagdagan, na-decrypt lamang nila ang mga piraso ng modelong nakaimbak sa chip kung kinakailangan.
Pangatlo, upang mapabuti ang seguridad, nabuo nila ang susi na direktang nagde-decrypt ng cipher sa chip, sa halip na ilipat ito pabalik-balik kasama ang modelo. Binuo nila ang natatanging key na ito mula sa mga random na pagkakaiba-iba sa chip na ipinakilala sa panahon ng pagmamanupaktura, gamit ang kilala bilang isang pisikal na hindi ma-clone na function.
"Siguro ang isang wire ay magiging mas makapal nang kaunti kaysa sa isa pa. Magagamit natin ang mga variation na ito upang makakuha ng mga zero at isa mula sa isang circuit. Para sa bawat chip, makakakuha tayo ng random key na dapat pare-pareho dahil ang mga random na katangian na ito ay hindi dapat magbago nang malaki sa paglipas ng panahon, "paliwanag ni Ashok.
Ginamit nila muli ang mga memory cell sa chip, na ginagamit ang mga di-kasakdalan sa mga cell na ito upang makabuo ng susi. Ito ay nangangailangan ng mas kaunting pag-compute kaysa sa pagbuo ng isang susi mula sa simula.
"Dahil ang seguridad ay naging isang kritikal na isyu sa disenyo ng mga aparato sa gilid, mayroong pangangailangan na bumuo ng isang kumpletong stack ng system na nakatuon sa ligtas na operasyon. Nakatuon ang gawaing ito sa seguridad para sa mga workload sa machine-learning at inilalarawan ang isang digital na processor na gumagamit ng cross-cutting optimization. Isinasama nito ang naka-encrypt na pag-access ng data sa pagitan ng memorya at processor, mga diskarte sa pagpigil sa mga pag-atake sa side-channel gamit ang randomization, at pagsasamantala sa pagkakaiba-iba upang makabuo ng mga natatanging code. Ang ganitong mga disenyo ay magiging kritikal sa hinaharap na mga mobile device, "sabi ni Chandrakasan.
Pagsubok sa kaligtasan
Upang subukan ang kanilang chip, kinuha ng mga mananaliksik ang papel ng mga hacker at sinubukang magnakaw ng lihim na impormasyon gamit ang mga pag-atake sa side-channel at bus-probing.
Kahit na pagkatapos gumawa ng milyun-milyong pagtatangka, hindi nila muling mabuo ang anumang totoong impormasyon o kumuha ng mga piraso ng modelo o dataset. Ang cipher ay nanatiling hindi nababasag. Sa kabaligtaran, tumagal lamang ng humigit-kumulang 5,000 sample upang magnakaw ng impormasyon mula sa isang hindi protektadong chip.
Ang pagdaragdag ng seguridad ay nakabawas sa kahusayan ng enerhiya ng accelerator, at nangangailangan din ito ng mas malaking lugar ng chip, na gagawing mas mahal ang paggawa.
Ang koponan ay nagpaplano na galugarin ang mga pamamaraan na maaaring mabawasan ang pagkonsumo ng enerhiya at laki ng kanilang chip sa hinaharap, na gagawing mas madaling ipatupad sa sukat.
“Habang nagiging masyadong mahal, nagiging mas mahirap na kumbinsihin ang isang tao na kritikal ang seguridad. Maaaring tuklasin ng trabaho sa hinaharap ang mga tradeoff na ito. Siguro maaari naming gawin itong medyo mas ligtas ngunit mas madaling ipatupad at mas mura," sabi ni Ashok.
Isinulat ni Adam Zewe
