Veilige AI-chip maakt snel, energiezuinig computergebruik op smartphones mogelijk en beschermt gebruikersgegevens

Elektronica en sensoren INSIDER

Een nieuwe chip kan de machine learning-workloads op edge-apparaten zoals smartphones efficiënt versnellen en tegelijkertijd gevoelige gebruikersgegevens beschermen tegen twee veelvoorkomende soorten aanvallen:side-channel-aanvallen en bus-probing-aanvallen. (Afbeelding:Chipfiguur met dank aan de onderzoekers; MIT News; iStock)

Apps voor gezondheidsmonitoring kunnen mensen helpen chronische ziekten te beheersen of op koers te blijven met fitnessdoelen, met behulp van niets anders dan een smartphone. Deze apps kunnen echter langzaam en energie-inefficiënt zijn, omdat de enorme machine learning-modellen die ze aandrijven, moeten worden gewisseld tussen een smartphone en een centrale geheugenserver.

Ingenieurs versnellen de zaken vaak met behulp van hardware die de noodzaak vermindert om zoveel gegevens heen en weer te verplaatsen. Hoewel deze machine learning-versnellers de berekeningen kunnen stroomlijnen, zijn ze gevoelig voor aanvallers die geheime informatie kunnen stelen.

Om deze kwetsbaarheid te verminderen hebben onderzoekers van MIT en het MIT-IBM Watson AI Lab een machine-learning accelerator ontwikkeld die bestand is tegen de twee meest voorkomende soorten aanvallen. Hun chip kan de gezondheidsgegevens, financiële informatie of andere gevoelige gegevens van een gebruiker privé houden, terwijl enorme AI-modellen toch efficiënt op apparaten kunnen worden uitgevoerd.

Het team heeft verschillende optimalisaties ontwikkeld die een sterke beveiliging mogelijk maken en het apparaat slechts licht vertragen. Bovendien heeft de extra beveiliging geen invloed op de nauwkeurigheid van berekeningen. Deze machinale leerversneller zou met name nuttig kunnen zijn voor veeleisende AI-toepassingen zoals augmented en virtual reality of autonoom rijden.

Hoewel de implementatie van de chip een apparaat iets duurder en minder energiezuinig zou maken, is dat soms een waardevolle prijs om te betalen voor beveiliging, zegt hoofdauteur Maitreyi Ashok, een afgestudeerde student elektrotechniek en computerwetenschappen (EECS) aan het MIT.

"Het is belangrijk om vanaf de basis te ontwerpen met beveiliging in gedachten. Als je zelfs maar een minimale hoeveelheid beveiliging probeert toe te voegen nadat een systeem is ontworpen, is dat onbetaalbaar. We hebben tijdens de ontwerpfase veel van deze afwegingen effectief in evenwicht kunnen brengen", aldus Ashok.

De onderzoekers richtten zich op een type machine-learning accelerator genaamd digital in-memory compute. Een digitale IMC-chip voert berekeningen uit in het geheugen van een apparaat, waar delen van een machinaal leermodel worden opgeslagen nadat ze zijn overgebracht van een centrale server.

Het hele model is te groot om op het apparaat op te slaan, maar door het in stukken te breken en die stukken zoveel mogelijk te hergebruiken, verminderen IMC-chips de hoeveelheid gegevens die heen en weer moet worden verplaatst.

Maar IMC-chips kunnen gevoelig zijn voor hackers. Bij een zijkanaalaanval houdt een hacker het stroomverbruik van de chip in de gaten en gebruikt hij statistische technieken om gegevens te reverse-engineeren terwijl de chip gegevens verwerkt. Bij een bus-probing-aanval kan de hacker bits van het model en de dataset stelen door de communicatie tussen de accelerator en het externe geheugen te onderzoeken.

Digitale IMC versnelt de berekeningen door miljoenen bewerkingen tegelijk uit te voeren, maar deze complexiteit maakt het moeilijk om aanvallen te voorkomen met behulp van traditionele beveiligingsmaatregelen, aldus Ashok.

Zij en haar medewerkers hanteerden een drieledige aanpak om aanvallen via zijkanalen en bussen te blokkeren.

Ten eerste gebruikten ze een beveiligingsmaatregel waarbij gegevens in het IMC in willekeurige stukken worden opgesplitst. Een bit nul kan bijvoorbeeld worden gesplitst in drie bits die na een logische bewerking nog steeds gelijk zijn aan nul. Het IMC rekent nooit met alle stukken in dezelfde bewerking, dus een zijkanaalaanval kan nooit de echte informatie reconstrueren.

Maar om deze techniek te laten werken, moeten willekeurige bits worden toegevoegd om de gegevens te splitsen. Omdat digitale IMC miljoenen bewerkingen tegelijk uitvoert, zou het genereren van zoveel willekeurige bits te veel rekenkracht vergen. Voor hun chip hebben de onderzoekers een manier gevonden om berekeningen te vereenvoudigen, waardoor het gemakkelijker wordt om gegevens effectief te splitsen en tegelijkertijd de noodzaak voor willekeurige bits te elimineren.

Ten tweede voorkwamen ze bus-indringende aanvallen met behulp van een lichtgewicht cijfer dat het model codeert dat is opgeslagen in het externe geheugen. Dit lichtgewicht cijfer vereist slechts eenvoudige berekeningen. Bovendien hebben ze alleen de op de chip opgeslagen delen van het model gedecodeerd als dat nodig was.

Ten derde hebben ze, om de veiligheid te verbeteren, de sleutel gegenereerd die de code rechtstreeks op de chip decodeert, in plaats van deze met het model heen en weer te bewegen. Ze hebben deze unieke sleutel gegenereerd op basis van willekeurige variaties in de chip die tijdens de productie worden geïntroduceerd, met behulp van een zogenaamde fysiek niet-kloneerbare functie.

"Misschien zal de ene draad een beetje dikker zijn dan de andere. We kunnen deze variaties gebruiken om nullen en enen uit een circuit te halen. Voor elke chip kunnen we een willekeurige sleutel krijgen die consistent moet zijn, omdat deze willekeurige eigenschappen in de loop van de tijd niet significant mogen veranderen", legt Ashok uit.

Ze hergebruikten de geheugencellen op de chip en maakten gebruik van de onvolkomenheden in deze cellen om de sleutel te genereren. Dit vereist minder rekenwerk dan het genereren van een geheel nieuwe sleutel.

"Aangezien beveiliging een kritieke kwestie is geworden bij het ontwerp van edge-apparaten, is er behoefte aan de ontwikkeling van een complete systeemstack die zich richt op een veilige werking. Dit werk richt zich op de beveiliging van werklasten van machinaal leren en beschrijft een digitale processor die gebruik maakt van transversale optimalisatie. Het omvat gecodeerde gegevenstoegang tussen geheugen en processor, benaderingen om zijkanaalaanvallen te voorkomen met behulp van randomisatie en het benutten van variabiliteit om unieke codes te genereren. Dergelijke ontwerpen zullen van cruciaal belang zijn in toekomstige mobiele apparaten", zegt Anantha Chandrakasan, hoofd innovatie en strategie van MIT. officier, decaan van de School of Engineering, en de Vannevar Bush hoogleraar EECS.

Om hun chip te testen, namen de onderzoekers de rol van hackers op zich en probeerden geheime informatie te stelen met behulp van side-channel- en bus-probing-aanvallen.

Zelfs na miljoenen pogingen konden ze geen echte informatie reconstrueren of stukjes uit het model of de dataset extraheren. Het cijfer bleef ook onbreekbaar. Daarentegen waren er slechts ongeveer 5.000 monsters nodig om informatie van een onbeschermde chip te stelen.

De toevoeging van beveiliging verminderde echter wel de energie-efficiëntie van de versneller, en er was ook een groter chipoppervlak voor nodig, waardoor de fabricage ervan duurder zou worden.

Het team is van plan methoden te onderzoeken die het energieverbruik en de grootte van hun chip in de toekomst kunnen verminderen, waardoor deze gemakkelijker op schaal kunnen worden geïmplementeerd.

"Naarmate het te duur wordt, wordt het moeilijker om iemand ervan te overtuigen dat beveiliging van cruciaal belang is. Toekomstig werk zou deze afwegingen kunnen onderzoeken. Misschien kunnen we het iets minder veilig maken, maar gemakkelijker te implementeren en goedkoper", aldus Ashok.

Bron