Gesundheitsüberwachungs-Apps können Menschen dabei helfen, mit chronischen Krankheiten umzugehen oder ihre Fitnessziele im Auge zu behalten – und das ganz einfach mit einem Smartphone. Diese Apps können jedoch langsam und energieineffizient sein, da die großen maschinellen Lernmodelle, die ihnen zugrunde liegen, zwischen einem Smartphone und einem zentralen Speicherserver übertragen werden müssen.
Ingenieure beschleunigen die Arbeit häufig durch den Einsatz von Hardware, die die Notwendigkeit verringert, so viele Daten hin und her zu verschieben. Obwohl diese Beschleuniger für maschinelles Lernen Berechnungen rationalisieren können, sind sie anfällig für Angreifer, die geheime Informationen stehlen können.
Um diese Schwachstelle zu verringern, haben Forscher am MIT und dem MIT-IBM Watson AI Lab einen Beschleuniger für maschinelles Lernen entwickelt, der den beiden häufigsten Angriffsarten standhält. Ihr Chip kann die Gesundheitsakten, Finanzinformationen oder andere sensible Daten eines Benutzers geheim halten und gleichzeitig die effiziente Ausführung umfangreicher KI-Modelle auf Geräten ermöglichen.
Das Team hat mehrere Optimierungen entwickelt, die für mehr Sicherheit sorgen und das Gerät nur geringfügig verlangsamen. Darüber hinaus hat die zusätzliche Sicherheit keinen Einfluss auf die Genauigkeit der Berechnungen. Dieser Beschleuniger für maschinelles Lernen könnte besonders für anspruchsvolle KI-Anwendungen wie Augmented und Virtual Reality oder autonomes Fahren von Nutzen sein.
Obwohl die Implementierung des Chips ein Gerät etwas teurer und weniger energieeffizient machen würde, ist es manchmal ein lohnender Preis für die Sicherheit, sagt Hauptautor Maitreyi Ashok, ein Doktorand der Elektro- und Computertechnik (EECS) am MIT.
„Es ist wichtig, beim Design von Anfang an die Sicherheit im Hinterkopf zu haben. Wenn Sie versuchen, nach dem Entwurf eines Systems auch nur ein Mindestmaß an Sicherheit hinzuzufügen, ist dies äußerst kostspielig. Wir konnten viele dieser Kompromisse während der Designphase effektiv ausbalancieren“, sagt Ashok.
Zu seinen Co-Autoren gehören der EECS-Doktorand Saurav Maji; Xin Zhang und John Cohn vom MIT-IBM Watson AI Lab; und Hauptautorin Anantha Chandrakasan, Chief Innovation and Strategy Officer des MIT, Dekanin der School of Engineering und EECS Vannevar Bush-Professorin. Die Forschungsergebnisse werden auf der IEEE Custom Integrated Circuits-Konferenz vorgestellt.
Anfälligkeit für Seitenkanäle
Die Forscher zielten auf eine Art Beschleuniger für maschinelles Lernen namens In-Memory Digital Computing. Ein digitaler IMC-Chip führt Berechnungen im Speicher eines Geräts durch, wo Elemente eines maschinellen Lernmodells gespeichert werden, nachdem sie von einem zentralen Server verschoben wurden.
Das gesamte Modell ist zu groß, um es auf dem Gerät zu speichern, aber indem IMC-Chips es in Teile zerlegen und diese Teile so weit wie möglich wiederverwenden, reduzieren sie die Datenmenge, die hin und her verschoben werden muss.
Doch IMC-Chips können für Hacker anfällig sein. Bei einem Seitenkanalangriff überwacht ein Hacker den Stromverbrauch des Chips und verwendet statistische Techniken, um die Daten zurückzuentwickeln, während der Chip rechnet. Bei einem Bus-Probing-Angriff kann der Hacker Teile des Modells und Datensatzes stehlen, indem er die Kommunikation zwischen dem Beschleuniger und dem Off-Chip-Speicher untersucht.
Digital IMC beschleunigt die Berechnung, indem es Millionen von Vorgängen gleichzeitig ausführt, aber diese Komplexität macht es schwierig, Angriffe mit herkömmlichen Sicherheitsmaßnahmen zu verhindern, sagt Ashok.
Sie und ihre Mitarbeiter verfolgten einen dreigleisigen Ansatz, um Side-Channel- und Bus-Probing-Angriffe zu blockieren.
Zunächst verwendeten sie eine Sicherheitsmaßnahme, bei der die BMI-Daten in zufällige Blöcke aufgeteilt wurden. Beispielsweise kann ein Nullbit in drei Bits unterteilt werden, die nach einer logischen Operation immer Null sind. IMC rechnet niemals mit allen Elementen in derselben Operation, sodass ein Seitenkanalangriff niemals in der Lage sein wird, die tatsächlichen Informationen zu rekonstruieren.
Damit diese Technik funktioniert, müssen jedoch zufällige Bits hinzugefügt werden, um die Daten aufzuteilen. Da der digitale IMC Millionen von Operationen gleichzeitig ausführt, wäre die Generierung so vieler Zufallsbits zu aufwändig. Für ihren Chip haben die Forscher einen Weg gefunden, die Berechnungen zu vereinfachen und so die effiziente Aufteilung der Daten zu erleichtern und gleichzeitig den Bedarf an Zufallsbits zu eliminieren.
Zweitens verhinderten sie Bus-Probe-Angriffe durch den Einsatz einer leichtgewichtigen Verschlüsselung, die das im Off-Chip-Speicher gespeicherte Muster verschlüsselt. Diese Lichtzahl erfordert nur einfache Berechnungen. Zudem entschlüsselten sie die auf dem Chip gespeicherten Modellteile nur bei Bedarf.
Drittens generierten sie zur Verbesserung der Sicherheit den Schlüssel, der die Chiffre entschlüsselt, direkt auf dem Chip, anstatt ihn mit dem Modell zu verschieben. Sie generierten diesen einzigartigen Schlüssel aus zufälligen Variationen des Chips, der während der Herstellung eingeführt wurde, und verwendeten dabei eine sogenannte physikalisch nicht klonbare Funktion.
„Vielleicht ist ein Draht etwas dicker als der andere. Wir können diese Variationen verwenden, um Nullen und Einsen aus einer Schaltung zu extrahieren. Für jeden Chip können wir einen Zufallsschlüssel erhalten, der konsistent sein sollte, da sich diese Zufallseigenschaften im Laufe der Zeit nicht wesentlich ändern sollten“, erklärt Ashok.
Sie haben die Speicherzellen des Chips wiederverwendet und dabei Unvollkommenheiten in diesen Zellen ausgenutzt, um den Schlüssel zu generieren. Dies erfordert weniger Berechnungen als das Generieren eines Schlüssels von Grund auf.
„Da Sicherheit zu einem kritischen Thema bei der Entwicklung von Edge-Geräten geworden ist, besteht die Notwendigkeit, einen vollständigen System-Stack zu entwickeln, der auf den sicheren Betrieb ausgerichtet ist. Diese Arbeit konzentriert sich auf die Sicherheit von Workloads für maschinelles Lernen und beschreibt einen digitalen Prozessor, der Querschnittsoptimierung verwendet. Es integriert den Zugriff auf verschlüsselte Daten zwischen Speicher und Prozessor sowie Ansätze zur Verhinderung von Seitenkanalangriffen durch Randomisierung und Ausnutzung der Variabilität zur Generierung einzigartiger Codes. Solche Designs werden in zukünftigen mobilen Geräten unverzichtbar sein“, sagt Chandrakasan.
Sicherheitstests
Um ihren Chip zu testen, schlüpften die Forscher in die Rolle von Hackern und versuchten, mithilfe von Side-Channel- und Bus-Probing-Angriffen geheime Informationen zu stehlen.
Selbst nach Millionen von Versuchen konnten sie keine echten Informationen rekonstruieren oder Elemente aus dem Modell oder Datensatz extrahieren. Die Figur blieb zudem unzerbrechlich. Im Gegensatz dazu waren nur etwa 5.000 Proben erforderlich, um Informationen von einem ungeschützten Chip zu stehlen.
Die zusätzliche Sicherheit verringerte die Energieeffizienz des Beschleunigers und erforderte außerdem eine größere Chipfläche, was die Herstellung verteuern würde.
Das Team plant, Methoden zu erforschen, die den Stromverbrauch und die Größe ihres Chips in Zukunft reduzieren könnten, wodurch die Implementierung in großem Maßstab einfacher wird.
„Je mehr es zu teuer wird, desto schwieriger wird es, jemanden davon zu überzeugen, dass Sicherheit unerlässlich ist. Zukünftige Arbeiten könnten diese Kompromisse untersuchen. Vielleicht könnten wir es etwas weniger sicher machen, aber einfacher zu implementieren und kostengünstiger“, sagt Ashok.
Geschrieben von Adam Zewe
Quelle: Massachusetts Institute of Technology
Ursprünglich veröffentlicht in The European Times.
source link Almouwatin
