Дослідники розробили рішення безпеки за допомогою цього крихітного чіпа для енергоємних моделей штучного інтелекту, яке забезпечує захист від двох типових атак.
Програми для моніторингу здоров'я може допомогти людям впоратися з хронічними захворюваннями або не відставати від фітнес-цілей, використовуючи лише смартфон. Однак ці додатки можуть бути повільними та енергоефективними, оскільки величезні моделі машинного навчання, які їх використовують, повинні перемикатися між смартфоном і центральним сервером пам’яті.
Інженери часто прискорюють роботу, використовуючи апаратне забезпечення, яке зменшує потребу переміщувати стільки даних туди-сюди. Хоча ці прискорювачі машинного навчання можуть оптимізувати обчислення, вони чутливі до зловмисників, які можуть викрасти секретну інформацію.
Щоб зменшити цю вразливість, дослідники з MIT і MIT-IBM Watson AI Lab створили прискорювач машинного навчання, який стійкий до двох найпоширеніших типів атак. Їхній чіп може зберігати дані про стан здоров’я користувача, фінансову інформацію чи інші конфіденційні дані та водночас забезпечувати ефективну роботу величезних моделей ШІ на пристроях.
Команда розробила кілька оптимізацій, які забезпечують надійний захист і лише трохи сповільнюють пристрій. Крім того, додаткова безпека не впливає на точність обчислень. Цей прискорювач машинного навчання може бути особливо корисним для вимогливих додатків ШІ, таких як доповнена та віртуальна реальність або автономне водіння.
Хоча впровадження чіпа зробило б пристрій трохи дорожчим і менш енергоефективним, іноді це ціна, яку варто заплатити за безпеку, каже провідний автор Майтрейі Ашок, аспірант з електротехніки та комп’ютерних наук (EECS) Массачусетського технологічного інституту.
«Важливо проектувати з урахуванням безпеки з нуля. Якщо ви намагаєтеся додати хоча б мінімальний рівень безпеки після того, як систему було спроектовано, це непомірно дорого. Нам вдалося ефективно збалансувати багато цих компромісів на етапі проектування», — каже Ашок.
Серед її співавторів Саурав Маджі, аспірант EECS; Сінь Чжан і Джон Кон з MIT-IBM Watson AI Lab; і старший автор Ананта Чандракасан, головний спеціаліст з інновацій та стратегії Массачусетського технологічного інституту, декан Інженерної школи та професор Ванневара Буша EECS. Дослідження буде представлено на конференції IEEE Custom Integrated Circuits Conference.
Сприйнятливість до бічних каналів
Дослідники націлилися на тип прискорювача машинного навчання під назвою «цифрові обчислення в пам’яті». Цифровий чіп IMC виконує обчислення в пам’яті пристрою, де зберігаються фрагменти моделі машинного навчання після переміщення з центрального сервера.
Уся модель занадто велика, щоб зберігати її на пристрої, але, розбиваючи її на частини та повторно використовуючи ці частини, наскільки це можливо, чіпи IMC зменшують кількість даних, які потрібно переміщувати вперед і назад.
Але чіпи IMC можуть бути вразливими для хакерів. Під час атаки по бічному каналу хакер відстежує енергоспоживання чіпа та використовує статистичні методи для зворотного проектування даних під час обчислень чіпа. Під час атаки з зондуванням шини хакер може викрасти біти моделі та набору даних, перевіряючи зв’язок між прискорювачем і зовнішньою пам’яттю.
Цифровий IMC прискорює обчислення, виконуючи мільйони операцій одночасно, але ця складність ускладнює запобігання атакам за допомогою традиційних заходів безпеки, каже Ашок.
Вона та її співробітники застосували тристоронній підхід до блокування атак із бічних каналів і зондування шини.
По-перше, вони застосували захід безпеки, коли дані в IMC розбиваються на випадкові частини. Наприклад, нульовий біт може бути розділений на три біти, які все ще дорівнюють нулю після логічної операції. IMC ніколи не виконує обчислення з усіма частинами в одній операції, тому атака побічного каналу ніколи не зможе відновити справжню інформацію.
Але щоб ця техніка працювала, потрібно додати випадкові біти, щоб розділити дані. Оскільки цифровий IMC виконує мільйони операцій одночасно, генерування такої кількості випадкових бітів вимагатиме занадто багато обчислень. Для свого чіпа дослідники знайшли спосіб спростити обчислення, спростивши ефективне розділення даних, усуваючи потребу у випадкових бітах.
По-друге, вони запобігли атакам із зондуванням шини за допомогою легкого шифру, який шифрує модель, що зберігається у зовнішній пам’яті. Цей легкий шифр вимагає лише простих обчислень. Крім того, вони розшифровували лише частини моделі, що зберігаються на чіпі, коли це було необхідно.
По-третє, щоб покращити безпеку, вони створили ключ, який розшифровує шифр безпосередньо на чіпі, а не переміщує його туди-сюди разом із моделлю. Вони згенерували цей унікальний ключ із випадкових варіацій чіпа, які вводяться під час виробництва, використовуючи так звану функцію, яка фізично не клонується.
«Можливо, один дріт буде трохи товщим за інший. Ми можемо використовувати ці варіації, щоб отримати нулі та одиниці зі схеми. Для кожного чіпа ми можемо отримати випадковий ключ, який має бути послідовним, оскільки ці випадкові властивості не повинні суттєво змінюватися з часом», — пояснює Ашок.
Вони повторно використали комірки пам’яті на чіпі, використовуючи недоліки в цих комірках для генерації ключа. Це вимагає менше обчислень, ніж створення ключа з нуля.
«Оскільки безпека стала критичною проблемою при розробці периферійних пристроїв, існує потреба розробити повний системний стек, зосереджений на безпечній роботі. Ця робота присвячена безпеці робочих навантажень машинного навчання та описує цифровий процесор, який використовує наскрізну оптимізацію. Він включає в себе зашифрований доступ до даних між пам’яттю та процесором, підходи до запобігання атак із стороннього каналу за допомогою рандомізації та використання мінливості для створення унікальних кодів. Такі конструкції будуть критично важливі для майбутніх мобільних пристроїв», — каже Чандракасан.
Тестування безпеки
Щоб протестувати свій чіп, дослідники взяли на себе роль хакерів і спробували викрасти секретну інформацію за допомогою атак із бічним каналом і зондуванням шини.
Навіть зробивши мільйони спроб, вони не змогли відновити жодної реальної інформації чи витягнути фрагменти моделі чи набору даних. Шифр також залишився незламним. Навпаки, для викрадення інформації з незахищеного чіпа знадобилося лише близько 5,000 зразків.
Додатковий захист дійсно знизив енергоефективність прискорювача, а також вимагав більшої площі чіпа, що зробило б його дорожчим у виготовленні.
Команда планує дослідити методи, які могли б зменшити споживання енергії та розмір їхнього чіпа в майбутньому, що полегшить його реалізацію в масштабі.
«Оскільки це стає надто дорогим, стає важче переконати когось у тому, що безпека має вирішальне значення. Майбутня робота може вивчити ці компроміси. Можливо, ми могли б зробити це трохи менш безпечним, але легшим у реалізації та менш дорогим», — говорить Ашок.
Автор: Адам Зеве
