Безопасный AI-чип обеспечивает быстрые и энергоэффективные вычисления на смартфонах, защищая при этом пользовательские данные

Электроника и датчики INSIDER

Новый чип может эффективно ускорить рабочие нагрузки машинного обучения на периферийных устройствах, таких как смартфоны, одновременно защищая конфиденциальные пользовательские данные от двух распространенных типов атак — атак по побочным каналам и атак с зондированием шины. (Изображение:Чип-фигура предоставлена исследователями; MIT News; iStock)

Приложения для мониторинга здоровья могут помочь людям справляться с хроническими заболеваниями или достигать целей в фитнесе, используя только смартфон. Однако эти приложения могут быть медленными и энергонеэффективными, поскольку лежащие в их основе огромные модели машинного обучения должны переключаться между смартфоном и центральным сервером памяти.

Инженеры часто ускоряют работу, используя оборудование, которое уменьшает необходимость перемещения большого количества данных туда и обратно. Хотя эти ускорители машинного обучения могут упростить вычисления, они уязвимы для злоумышленников, которые могут украсть секретную информацию.

Чтобы уменьшить эту уязвимость, исследователи из Массачусетского технологического института и Лаборатории искусственного интеллекта Watson MIT-IBM создали ускоритель машинного обучения, устойчивый к двум наиболее распространенным типам атак. Их чип может сохранять конфиденциальность медицинских записей пользователя, финансовой информации и других конфиденциальных данных, в то же время обеспечивая эффективную работу огромных моделей искусственного интеллекта на устройствах.

Команда разработала несколько оптимизаций, которые обеспечивают высокий уровень безопасности, лишь слегка замедляя работу устройства. Более того, дополнительная безопасность не влияет на точность вычислений. Этот ускоритель машинного обучения может быть особенно полезен для требовательных приложений искусственного интеллекта, таких как дополненная и виртуальная реальность или автономное вождение.

Хотя внедрение чипа сделает устройство немного более дорогим и менее энергоэффективным, иногда это оправданная цена за безопасность, говорит ведущий автор Майтрейи Ашок, аспирантка Массачусетского технологического института в области электротехники и информатики (EECS).

"Важно с самого начала проектировать систему с учетом безопасности. Если вы пытаетесь добавить хотя бы минимальный уровень безопасности после того, как система была спроектирована, это непомерно дорого. Мы смогли эффективно сбалансировать многие из этих компромиссов на этапе проектирования", - сказал Ашок.

Исследователи нацелились на тип ускорителя машинного обучения, называемый цифровыми вычислениями в памяти. Цифровой чип IMC выполняет вычисления в памяти устройства, где хранятся части модели машинного обучения после перемещения с центрального сервера.

Вся модель слишком велика для хранения на устройстве, но, разбивая ее на части и максимально повторно используя эти части, чипы IMC уменьшают объем данных, которые необходимо перемещать туда и обратно.

Но чипы IMC могут быть уязвимы для хакеров. При атаке по побочному каналу хакер отслеживает энергопотребление чипа и использует статистические методы для обратного проектирования данных во время вычислений чипа. При атаке с зондированием шины хакер может украсть фрагменты модели и набора данных, проверив связь между ускорителем и внешней памятью.

По словам Ашока, цифровая IMC ускоряет вычисления, выполняя миллионы операций одновременно, но эта сложность затрудняет предотвращение атак с использованием традиционных мер безопасности.

Она и ее коллеги применили трехсторонний подход к блокированию атак по побочным каналам и атакам с использованием проверки шины.

Во-первых, они применили меру безопасности, при которой данные в IMC разбиваются на случайные фрагменты. Например, нулевой бит может быть разделен на три бита, которые после логической операции по-прежнему будут равны нулю. IMC никогда не выполняет вычисления со всеми частями в одной операции, поэтому атака по побочному каналу никогда не сможет восстановить реальную информацию.

Но чтобы этот метод работал, необходимо добавить случайные биты для разделения данных. Поскольку цифровой IMC выполняет миллионы операций одновременно, генерация такого количества случайных битов потребует слишком большого объема вычислений. Для своего чипа исследователи нашли способ упростить вычисления, упрощая эффективное разделение данных и устраняя необходимость в случайных битах.

Во-вторых, они предотвратили атаки с зондированием шины, используя облегченный шифр, который шифрует модель, хранящуюся во внешней памяти. Этот легкий шифр требует только простых вычислений. Кроме того, они расшифровывали фрагменты модели, хранящиеся на чипе, только при необходимости.

В-третьих, для повышения безопасности они сгенерировали ключ, который расшифровывает шифр, непосредственно на чипе, а не перемещали его взад и вперед вместе с моделью. Они сгенерировали этот уникальный ключ из случайных изменений в чипе, возникших во время производства, используя так называемую физически неклонируемую функцию.

"Возможно, один провод будет немного толще другого. Мы можем использовать эти варианты, чтобы получить нули и единицы из схемы. Для каждого чипа мы можем получить случайный ключ, который должен быть согласованным, потому что эти случайные свойства не должны существенно меняться с течением времени", - объяснил Ашок.

Они повторно использовали ячейки памяти чипа, используя недостатки этих ячеек для генерации ключа. Это требует меньше вычислений, чем создание ключа с нуля.

"Поскольку безопасность стала критически важной проблемой при проектировании периферийных устройств, существует необходимость разработки полного системного стека, ориентированного на безопасную работу. Эта работа сосредоточена на безопасности рабочих нагрузок машинного обучения и описывает цифровой процессор, использующий сквозную оптимизацию. Он включает в себя зашифрованный доступ к данным между памятью и процессором, подходы к предотвращению атак по побочным каналам с использованием рандомизации и использование изменчивости для генерации уникальных кодов. Такие конструкции будут иметь решающее значение в будущих мобильных устройствах", - сказала Ананта Чандракасан, руководитель MIT. специалист по инновациям и стратегии, декан инженерного факультета и профессор EECS Ванневара Буша.

Чтобы протестировать свой чип, исследователи взяли на себя роль хакеров и попытались украсть секретную информацию, используя атаки по побочным каналам и зондированию шины.

Даже после миллионов попыток они не смогли восстановить никакой реальной информации или извлечь фрагменты модели или набора данных. Шифр также остался невзламываемым. Напротив, чтобы украсть информацию с незащищенного чипа, потребовалось всего около 5000 образцов.

Однако добавление средств безопасности снизило энергоэффективность ускорителя, а также потребовало большей площади кристалла, что сделало его производство более дорогим.

В будущем команда планирует изучить методы, которые могли бы снизить энергопотребление и размер их чипа, что облегчит его масштабную реализацию.

"Поскольку это становится слишком дорого, становится все труднее убедить кого-то в том, что безопасность имеет решающее значение. Будущая работа может изучить эти компромиссы. Возможно, мы могли бы сделать его немного менее безопасным, но более простым в реализации и менее дорогим", - сказал Ашок.

Источник