Gesundheitsüberwachungs-Apps können Menschen dabei helfen, chronische Krankheiten zu bewältigen oder ihre Fitnessziele zu erreichen. Dafür wird lediglich ein Smartphone benötigt. Allerdings sind diese Apps oft langsam und energieineffizient, da die umfangreichen maschinellen Lernmodelle, die sie unterstützen, zwischen einem Smartphone und einem zentralen Speicherserver hin- und hergeschoben werden müssen.
Ingenieure beschleunigen die Arbeit häufig durch den Einsatz von {Hardware}, die den Datentransfer reduziert. Diese maschinellen Lernbeschleuniger können zwar die Berechnung rationalisieren, sind aber anfällig für Angreifer, die geheime Informationen stehlen können.
Um diese Schwachstelle zu verringern, haben Forscher vom MIT und dem MIT-IBM Watson AI Lab einen Beschleuniger für maschinelles Lernen entwickelt, der gegen die beiden häufigsten Angriffsarten resistent ist. Ihr Chip kann die Gesundheitsdaten, Finanzinformationen oder andere vertrauliche Daten eines Benutzers vertraulich halten und gleichzeitig dafür sorgen, dass riesige KI-Modelle effizient auf Geräten ausgeführt werden.
Das Workforce entwickelte mehrere Optimierungen, die eine hohe Sicherheit ermöglichen und das Gerät dabei nur geringfügig verlangsamen. Darüber hinaus hat die zusätzliche Sicherheit keinen Einfluss auf die Genauigkeit der Berechnungen. Dieser maschinelle Lernbeschleuniger könnte insbesondere für anspruchsvolle KI-Anwendungen wie Augmented und Digital Actuality oder autonomes Fahren von Nutzen sein.
Zwar würde die Implementierung des Chips ein Gerät etwas teurer und weniger energieeffizient machen, doch manchmal sei dies ein lohnender Preis für die Sicherheit, sagt Hauptautor Maitreyi Ashok, ein Doktorand der Elektrotechnik und Informatik (EECS) am MIT.
„Es ist wichtig, bei der Entwicklung von Grund auf die Sicherheit zu berücksichtigen. Wenn man versucht, nach der Entwicklung eines Programs auch nur ein minimales Maß an Sicherheit hinzuzufügen, ist das unerschwinglich teuer. Wir konnten viele dieser Kompromisse während der Entwicklungsphase effektiv ausgleichen“, sagt Ashok.
Zu ihren Co-Autoren gehören Saurav Maji, ein EECS-Scholar; Xin Zhang und John Cohn vom MIT-IBM Watson AI Lab; und die leitende Autorin Anantha Chandrakasan, MITs Chefinnovations- und Strategiebeauftragte, Dekanin der College of Engineering und Vannevar Bush-Professorin der EECS. Die Forschungsarbeit wird auf der IEEE Customized Built-in Circuits Convention vorgestellt.
Seitenkanalanfälligkeit
Die Forscher konzentrierten sich auf einen Typ von maschinellem Lernbeschleuniger namens Digital In-Reminiscence Compute. Ein digitaler IMC-Chip führt Berechnungen im Speicher eines Geräts durch, wo Teile eines maschinellen Lernmodells gespeichert werden, nachdem sie von einem zentralen Server übertragen wurden.
Das gesamte Modell ist zu groß, um es auf dem Gerät zu speichern. Indem IMC-Chips es jedoch in Teile zerlegen und diese Teile so oft wie möglich wiederverwenden, reduzieren sie die Datenmenge, die hin und her verschoben werden muss.
IMC-Chips können jedoch anfällig für Hackerangriffe sein. Bei einem Aspect-Channel-Angriff überwacht ein Hacker den Stromverbrauch des Chips und verwendet statistische Techniken, um Daten während der Berechnung des Chips zurückzuentwickeln. Bei einem Bus-Probing-Angriff kann der Hacker Teile des Modells und des Datensatzes stehlen, indem er die Kommunikation zwischen dem Beschleuniger und dem externen Speicher untersucht.
Digital IMC beschleunigt die Berechnung, indem Millionen von Operationen gleichzeitig ausgeführt werden. Diese Komplexität macht es jedoch schwierig, Angriffe mit herkömmlichen Sicherheitsmaßnahmen zu verhindern, sagt Ashok.
Sie und ihre Mitarbeiter verfolgten einen dreigleisigen Ansatz, um Aspect-Channel- und Bus-Probing-Angriffe zu blockieren.
Zunächst verwendeten sie eine Sicherheitsmaßnahme, bei der die Daten im IMC in zufällige Teile aufgeteilt werden. So könnte beispielsweise ein Bit Null in drei Bits aufgeteilt werden, die nach einer logischen Operation immer noch Null ergeben. Der IMC rechnet nie mit allen Teilen in derselben Operation, sodass ein Seitenkanalangriff niemals die tatsächlichen Informationen rekonstruieren könnte.
Damit diese Technik funktioniert, müssen jedoch Zufallsbits hinzugefügt werden, um die Daten aufzuteilen. Da digitale IMCs Millionen von Operationen gleichzeitig ausführen, wäre die Generierung so vieler Zufallsbits zu aufwändig. Für ihren Chip haben die Forscher einen Weg gefunden, die Berechnungen zu vereinfachen, sodass die Daten leichter und effektiver aufgeteilt werden können, ohne dass Zufallsbits erforderlich sind.
Zweitens verhinderten sie Bus-Probing-Angriffe mithilfe einer einfachen Chiffre, die das im externen Speicher des Chips gespeicherte Modell verschlüsselt. Diese einfache Chiffre erfordert nur einfache Berechnungen. Darüber hinaus entschlüsselten sie die auf dem Chip gespeicherten Teile des Modells nur, wenn dies erforderlich battle.
Drittens haben sie zur Verbesserung der Sicherheit den Schlüssel zum Entschlüsseln der Chiffre direkt auf dem Chip generiert, anstatt ihn mit dem Modell hin und her zu bewegen. Sie haben diesen einzigartigen Schlüssel aus zufälligen Variationen des Chips generiert, die während der Herstellung eingeführt werden, und dabei eine sogenannte physikalisch nicht klonbare Funktion verwendet.
„Vielleicht ist ein Draht etwas dicker als ein anderer. Wir können diese Variationen nutzen, um Nullen und Einsen aus einem Schaltkreis zu bekommen. Für jeden Chip können wir einen zufälligen Schlüssel erhalten, der konsistent sein sollte, da sich diese zufälligen Eigenschaften im Laufe der Zeit nicht wesentlich ändern sollten“, erklärt Ashok.
Sie verwendeten die Speicherzellen auf dem Chip wieder und nutzten die Unvollkommenheiten in diesen Zellen, um den Schlüssel zu generieren. Dies erfordert weniger Rechenleistung als die Generierung eines Schlüssels von Grund auf.
„Da Sicherheit bei der Entwicklung von Edge-Geräten zu einem kritischen Thema geworden ist, muss ein vollständiger System-Stack entwickelt werden, der sich auf den sicheren Betrieb konzentriert. Diese Arbeit konzentriert sich auf die Sicherheit von Machine-Studying-Workloads und beschreibt einen digitalen Prozessor, der übergreifende Optimierung verwendet. Er umfasst verschlüsselten Datenzugriff zwischen Speicher und Prozessor, Ansätze zur Verhinderung von Aspect-Channel-Angriffen durch Randomisierung und die Ausnutzung von Variabilität zur Generierung einzigartiger Codes. Solche Designs werden bei zukünftigen Mobilgeräten von entscheidender Bedeutung sein“, sagt Chandrakasan.
Sicherheitsprüfung
Um ihren Chip zu testen, schlüpften die Forscher in die Rolle von Hackern und versuchten mittels Aspect-Channel- und Bus-Probing-Angriffen geheime Informationen zu stehlen.
Selbst nach Millionen von Versuchen konnten sie keine echten Informationen rekonstruieren oder Teile des Modells oder Datensatzes extrahieren. Auch die Chiffre blieb unknackbar. Im Gegensatz dazu waren nur etwa 5.000 Versuche nötig, um Informationen von einem ungeschützten Chip zu stehlen.
Die zusätzlichen Sicherheitsmaßnahmen verringerten die Energieeffizienz des Beschleunigers und erforderten zudem eine größere Chipfläche, was die Herstellung teurer machte.
Das Workforce plant, Methoden zu erforschen, mit denen sich der Energieverbrauch und die Größe des Chips in Zukunft reduzieren lassen, was eine Implementierung im großen Maßstab erleichtern würde.
„Wenn es zu teuer wird, wird es schwieriger, jemanden davon zu überzeugen, dass Sicherheit von entscheidender Bedeutung ist. Zukünftige Arbeiten könnten diese Kompromisse untersuchen. Vielleicht könnten wir es etwas weniger sicher machen, aber einfacher zu implementieren und weniger teuer“, sagt Ashok.
Die Forschung wird zum Teil vom MIT-IBM Watson AI Lab, der Nationwide Science Basis und einem Mathworks Engineering Fellowship finanziert.