Gesundheitsüberwachungs-Apps können Menschen dabei helfen, chronische Krankheiten zu bewältigen oder ihre Fitnessziele zu verfolgen – und das mit nichts weiter als einem Smartphone. Diese Apps können jedoch langsam und energieineffizient sein, da die umfangreichen maschinellen Lernmodelle, die sie antreiben, zwischen einem Smartphone und einem zentralen Speicher-Server hin- und hergeschoben werden müssen.
Ingenieure setzen oft Hardware ein, die das Hin- und Herschieben so vieler Daten reduziert, um den Vorgang zu beschleunigen. Diese Beschleuniger für maschinelles Lernen können zwar die Berechnungen rationalisieren, sind aber anfällig für Angreifer, die geheime Informationen stehlen können.
Forscher entwickeln IMC Chip für mehr Sicherheit
Um diese Anfälligkeit zu verringern, haben Forscher des MIT und des MIT-IBM Watson AI Lab einen Beschleuniger für maschinelles Lernen entwickelt, der gegen die beiden häufigsten Arten von Angriffen resistent ist. Ihr Chip kann die Gesundheitsdaten, Finanzinformationen oder andere sensible Daten eines Nutzers geheim halten und gleichzeitig die effiziente Ausführung großer KI-Modelle auf Geräten ermöglichen.
Das Team hat mehrere Optimierungen entwickelt, die eine hohe Sicherheit bei nur geringer Verlangsamung des Geräts ermöglichen. Darüber hinaus hat die zusätzliche Sicherheit keine Auswirkungen auf die Genauigkeit der Berechnungen. Dieser Beschleuniger für maschinelles Lernen könnte besonders für anspruchsvolle KI-Anwendungen wie Augmented und Virtual Reality oder autonomes Fahren von Vorteil sein.
Etwas teurer und Energiehungriger – aber sicherer
Die Implementierung des Chips würde ein Gerät zwar etwas teurer und weniger energieeffizient machen, aber das ist manchmal ein lohnender Preis für die Sicherheit, sagt die Hauptautorin Maitreyi Ashok, eine Studentin der Elektrotechnik und Computerwissenschaften (EECS) am MIT.
„Es ist wichtig, bei der Entwicklung von Anfang an die Sicherheit im Auge zu behalten. Wenn man versucht, auch nur ein Minimum an Sicherheit nachträglich in ein System einzubauen, ist das unerschwinglich teuer. Wir waren in der Lage, viele dieser Kompromisse während der Entwurfsphase effektiv auszugleichen”, sagt Ashok.
Zu ihren Co-Autoren gehören Saurav Maji, ein EECS-Absolvent, Xin Zhang und John Cohn vom MIT-IBM Watson AI Lab sowie der Hauptautor Anantha Chandrakasan, MIT’s Chief Innovation and Strategy Officer, Dekan der School of Engineering und Vannevar Bush Professor of EECS. Die Forschungsergebnisse werden auf der IEEE Custom Integrated Circuits Conference vorgestellt.
Anfälligkeit für Seitenkanäle
Die Forscher zielten auf eine Art von Beschleuniger für maschinelles Lernen ab, den so genannten digitalen In-Memory-Computer. Ein digitaler IMC Chip führt Berechnungen im Speicher eines Geräts durch, wo Teile eines Modells für maschinelles Lernen gespeichert werden, nachdem sie von einem zentralen Server übertragen wurden.
Das gesamte Modell ist zu groß, um es auf dem Gerät zu speichern, aber indem es in Teile zerlegt und diese Teile so weit wie möglich wiederverwendet werden, reduzieren IMC Chips die Datenmenge, die hin und her bewegt werden muss.
IMC-Chips können jedoch anfällig für Hacker sein. Bei einem Seitenkanalangriff überwacht ein Hacker den Stromverbrauch des Chips und nutzt statistische Verfahren, um Daten während der Berechnungen des Chips zurückzuverfolgen (Reverse Engineering). Bei einem Bus-Probing-Angriff kann der Hacker Bits des Modells und des Datensatzes stehlen, indem er die Kommunikation zwischen dem Beschleuniger und dem Off-Chip-Speicher untersucht.
Der digitale IMC beschleunigt die Berechnungen durch die gleichzeitige Ausführung von Millionen von Operationen, aber diese Komplexität macht es schwierig, Angriffe mit herkömmlichen Sicherheitsmaßnahmen zu verhindern, sagt Ashok.
Mitarbeiter verfolgen drei Ansätze
Sie und ihre Mitarbeiter verfolgten einen dreigleisigen Ansatz zur Abwehr von Seitenkanal- und Bus-Probing-Angriffen.
Zunächst setzten sie eine Sicherheitsmaßnahme ein, bei der die Daten im IMC in zufällige Teile aufgeteilt werden. So könnte beispielsweise ein Bit Null in drei Bits aufgeteilt werden, die nach einer logischen Operation immer noch gleich Null sind. Der IMC Chip rechnet nie mit allen Teilen in derselben Operation, so dass ein Angriff über einen Seitenkanal niemals die tatsächlichen Informationen rekonstruieren könnte.
Damit diese Technik funktioniert, müssen jedoch Zufallsbits hinzugefügt werden, um die Daten aufzuteilen. Da der digitale IMC Millionen von Operationen auf einmal durchführt, würde die Erzeugung so vieler Zufallsbits zu viel Rechenarbeit erfordern. Für ihren IMC Chip haben die Forscher einen Weg gefunden, die Berechnungen zu vereinfachen, so dass es einfacher ist, Daten effektiv aufzuteilen, ohne dass Zufallsbits erforderlich sind.
Zweitens verhinderten sie Bus-Probing-Angriffe, indem sie eine leichtgewichtige Chiffre einsetzten, die das im Off-Chip-Speicher gespeicherte Modell verschlüsselt. Diese leichte Chiffre erfordert nur einfache Berechnungen. Außerdem entschlüsselten sie nur bei Bedarf die auf dem IMC Chip gespeicherten Teile des Modells.
Drittens generierten sie zur Verbesserung der Sicherheit den Schlüssel, der die Chiffre entschlüsselt, direkt auf dem Chip, anstatt ihn mit dem Modell hin- und herzuschieben. Diesen eindeutigen Schlüssel generierten sie aus zufälligen Variationen des Chips, die während der Herstellung entstehen, unter Verwendung einer so genannten physikalisch nicht klonierbaren Funktion.
Sie haben die Speicherzellen auf dem Chip wiederverwendet und die Unzulänglichkeiten dieser Zellen genutzt, um den Schlüssel zu erzeugen. Dies erfordert weniger Berechnungen als die Erzeugung eines Schlüssels von Grund auf.
„Da die Sicherheit zu einem kritischen Thema bei der Entwicklung von Edge-Geräten geworden ist, muss ein kompletter Systemstapel entwickelt werden, der sich auf einen sicheren Betrieb konzentriert. Diese Arbeit konzentriert sich auf die Sicherheit von Machine-Learning-Workloads und beschreibt einen digitalen Prozessor, der eine übergreifende Optimierung verwendet. Er umfasst einen verschlüsselten Datenzugriff zwischen Speicher und Prozessor, Ansätze zur Verhinderung von Seitenkanalangriffen durch Randomisierung und die Ausnutzung von Variabilität zur Erzeugung eindeutiger Codes. Solche Entwürfe werden für künftige mobile Geräte entscheidend sein”, sagt Chandrakasan.
Sicherheitstests
Um ihren Chip zu testen, schlüpften die Forscher in die Rolle von Hackern und versuchten, geheime Informationen mithilfe von Seitenkanal- und Bus-Probing-Angriffen zu stehlen.
Selbst nach Millionen von Versuchen gelang es ihnen nicht, echte Informationen zu rekonstruieren oder Teile des Modells oder des Datensatzes zu extrahieren. Auch die Chiffre blieb unknackbar. Im Gegensatz dazu brauchte es nur etwa 5.000 Proben, um Informationen von einem ungeschützten Chip zu stehlen.
