Araştırmacılar, güce aç yapay zeka modelleri için bu küçük çip ile iki yaygın saldırıya karşı koruma sağlayan bir güvenlik çözümü geliştirdiler.
Sağlık izleme uygulamaları İnsanların yalnızca bir akıllı telefon kullanarak kronik hastalıkları yönetmelerine veya fitness hedeflerini takip etmelerine yardımcı olabilir. Ancak bu uygulamalar yavaş olabilir ve enerji açısından verimsiz olabilir çünkü onlara güç veren geniş makine öğrenimi modellerinin bir akıllı telefon ile merkezi bir bellek sunucusu arasında gidip gelmesi gerekir.
Mühendisler genellikle çok fazla veriyi ileri geri taşıma ihtiyacını azaltan donanım kullanarak işleri hızlandırır. Bu makine öğrenimi hızlandırıcıları hesaplamayı kolaylaştırabilirken, gizli bilgileri çalabilecek saldırganlara karşı da savunmasızdırlar.
MIT ve MIT-IBM Watson Yapay Zeka Laboratuvarı'ndan araştırmacılar, bu güvenlik açığını azaltmak için en yaygın iki saldırı türüne karşı dayanıklı bir makine öğrenimi hızlandırıcısı geliştirdi. Çipleri, bir kullanıcının sağlık kayıtlarını, finansal bilgilerini veya diğer hassas verilerini gizli tutarken, büyük yapay zeka modellerinin cihazlarda verimli bir şekilde çalışmasına olanak tanıyor.
Ekip, cihazı yalnızca biraz yavaşlatırken güçlü güvenlik sağlayan çeşitli optimizasyonlar geliştirdi. Ayrıca eklenen güvenlik, hesaplamaların doğruluğunu etkilemez. Bu makine öğrenimi hızlandırıcısı, artırılmış ve sanal gerçeklik veya otonom sürüş gibi zorlu yapay zeka uygulamaları için özellikle faydalı olabilir.
MIT'de elektrik mühendisliği ve bilgisayar bilimleri (EECS) yüksek lisans öğrencisi olan başyazar Maitreyi Ashok, çipin uygulanmasının cihazı biraz daha pahalı ve enerji açısından daha az verimli hale getireceğini ancak bunun bazen güvenlik için ödenmeye değer bir bedel olduğunu söylüyor.
“Temelden güvenliği göz önünde bulundurarak tasarım yapmak önemlidir. Bir sistem tasarlandıktan sonra minimum miktarda bile güvenlik eklemeye çalışıyorsanız, bu çok pahalıdır. Ashok, "Tasarım aşamasında bu ödünleşimlerin çoğunu etkili bir şekilde dengelemeyi başardık" diyor.
Ortak yazarları arasında EECS yüksek lisans öğrencisi Saurav Maji; MIT-IBM Watson Yapay Zeka Laboratuvarı'ndan Xin Zhang ve John Cohn; ve MIT'nin baş inovasyon ve strateji sorumlusu, Mühendislik Fakültesi Dekanı ve EECS Vannevar Bush Profesörü olan kıdemli yazar Anantha Chandrakasan. Araştırma IEEE Özel Tümleşik Devreler Konferansında sunulacak.
Yan kanal duyarlılığı
Araştırmacılar, dijital bellek içi hesaplama adı verilen bir tür makine öğrenimi hızlandırıcısını hedef aldı. Dijital bir IMC çipi, bir cihazın hafızasında hesaplamalar gerçekleştirir; burada makine öğrenimi modelinin parçaları, merkezi bir sunucudan taşındıktan sonra depolanır.
Modelin tamamı cihazda depolanamayacak kadar büyük, ancak IMC çipleri onu parçalara ayırarak ve bu parçaları mümkün olduğunca yeniden kullanarak ileri geri taşınması gereken veri miktarını azaltır.
Ancak IMC çipleri bilgisayar korsanlarına karşı savunmasız olabilir. Yan kanal saldırısında, bir bilgisayar korsanı çipin güç tüketimini izler ve çip hesaplarken verilere tersine mühendislik yapmak için istatistiksel teknikler kullanır. Veri yolu araştırma saldırısında, bilgisayar korsanı, hızlandırıcı ile çip dışı bellek arasındaki iletişimi inceleyerek modelin ve veri kümesinin parçalarını çalabilir.
Ashok, Dijital IMC'nin milyonlarca işlemi aynı anda gerçekleştirerek hesaplamayı hızlandırdığını ancak bu karmaşıklığın, geleneksel güvenlik önlemleri kullanılarak yapılan saldırıları önlemeyi zorlaştırdığını söylüyor.
O ve işbirlikçileri, yan kanal ve veri yolu araştırma saldırılarını engellemek için üç yönlü bir yaklaşım benimsedi.
İlk olarak, IMC'deki verilerin rastgele parçalara bölündüğü bir güvenlik önlemi kullandılar. Örneğin, bir sıfır biti, mantıksal bir işlemden sonra hala sıfıra eşit olan üç bit'e bölünebilir. IMC hiçbir zaman aynı işlemdeki tüm parçaları hesaplamaz, dolayısıyla bir yan kanal saldırısı asla gerçek bilgiyi yeniden oluşturamaz.
Ancak bu tekniğin işe yaraması için verileri bölmek üzere rastgele bitlerin eklenmesi gerekir. Dijital IMC aynı anda milyonlarca işlemi gerçekleştirdiğinden, bu kadar çok rastgele bit üretmek çok fazla bilgi işlem gerektirecektir. Araştırmacılar, çipleri için hesaplamaları basitleştirmenin, verileri etkili bir şekilde bölmeyi kolaylaştırırken rastgele bitlere olan ihtiyacı ortadan kaldırmanın bir yolunu buldular.
İkinci olarak, çip dışı bellekte saklanan modeli şifreleyen hafif bir şifre kullanarak veri yolu araştırma saldırılarını önlediler. Bu hafif şifre yalnızca basit hesaplamalar gerektirir. Ayrıca gerektiğinde modelin yalnızca çipte saklanan parçalarının şifresini çözdüler.
Üçüncüsü, güvenliği artırmak için, şifreyi modelle birlikte ileri geri hareket ettirmek yerine doğrudan çip üzerinde çözen anahtarı oluşturdular. Bu benzersiz anahtarı, fiziksel olarak klonlanamayan bir işlev olarak bilinen şeyi kullanarak, üretim sırasında tanıtılan çipteki rastgele değişikliklerden ürettiler.
“Belki bir tel diğerinden biraz daha kalın olacaktır. Bu varyasyonları devreden sıfırları ve birleri çıkarmak için kullanabiliriz. Ashok, her çip için tutarlı olması gereken rastgele bir anahtar elde edebiliyoruz çünkü bu rastgele özelliklerin zaman içinde önemli ölçüde değişmemesi gerekiyor, diye açıklıyor.
Çip üzerindeki hafıza hücrelerini yeniden kullandılar ve bu hücrelerdeki kusurlardan yararlanarak anahtarı oluşturdular. Bu, sıfırdan bir anahtar oluşturmaktan daha az hesaplama gerektirir.
“Güvenlik, uç cihazların tasarımında kritik bir konu haline geldiğinden, güvenli çalışmaya odaklanan eksiksiz bir sistem yığınının geliştirilmesine ihtiyaç var. Bu çalışma, makine öğrenimi iş yükleri için güvenliğe odaklanmakta ve çapraz kesim optimizasyonunu kullanan bir dijital işlemciyi açıklamaktadır. Bellek ve işlemci arasında şifreli veri erişimini, rastgeleleştirme kullanarak yan kanal saldırılarını önlemeye yönelik yaklaşımları ve benzersiz kodlar oluşturmak için değişkenlikten yararlanma yaklaşımlarını içerir. Bu tür tasarımlar gelecekteki mobil cihazlarda kritik öneme sahip olacak" diyor Chandrakasan.
Güvenlik testi
Araştırmacılar, çiplerini test etmek için bilgisayar korsanlarının rolünü üstlendiler ve yan kanal ve veri yolu araştırma saldırılarını kullanarak gizli bilgileri çalmaya çalıştılar.
Milyonlarca denemeden sonra bile herhangi bir gerçek bilgiyi yeniden oluşturamadılar veya modelin veya veri kümesinin parçalarını çıkaramadılar. Şifre de kırılmaz kaldı. Buna karşılık, korumasız bir çipten bilgi çalmak için yalnızca 5,000 örnek yeterli oldu.
Güvenliğin eklenmesi, hızlandırıcının enerji verimliliğini azalttı ve aynı zamanda daha büyük bir çip alanı gerektirdi, bu da imalatını daha pahalı hale getirecekti.
Ekip, gelecekte çiplerinin enerji tüketimini ve boyutunu azaltabilecek, bu da çipin geniş ölçekte uygulanmasını kolaylaştıracak yöntemler keşfetmeyi planlıyor.
“Çok pahalı hale geldikçe, birini güvenliğin kritik olduğuna ikna etmek zorlaşıyor. Gelecekteki çalışmalar bu ödünleşimleri araştırabilir. Belki bunu biraz daha az güvenli, ancak uygulanması daha kolay ve daha ucuz hale getirebiliriz," diyor Ashok.
Adam Zewe'nin yazdığı
