Secure AI Chip permite computação rápida e com baixo consumo de energia em smartphones, ao mesmo tempo que protege os dados do usuário

Eletrônicos e Sensores INSIDER
Um novo chip pode acelerar com eficiência as cargas de trabalho de aprendizado de máquina em dispositivos de ponta, como smartphones, ao mesmo tempo que protege dados confidenciais do usuário contra dois tipos comuns de ataques:ataques de canal lateral e ataques de sondagem de barramento. (Imagem:figura do chip cortesia dos pesquisadores; MIT News; iStock)
Os aplicativos de monitoramento de saúde podem ajudar as pessoas a controlar doenças crônicas ou a manter o controle de suas metas de condicionamento físico, usando nada mais do que um smartphone. No entanto, estas aplicações podem ser lentas e ineficientes em termos energéticos porque os vastos modelos de aprendizagem automática que as alimentam devem ser transportados entre um smartphone e um servidor de memória central.

Os engenheiros geralmente aceleram as coisas usando hardware que reduz a necessidade de mover tantos dados para frente e para trás. Embora esses aceleradores de aprendizado de máquina possam agilizar a computação, eles são suscetíveis a invasores que podem roubar informações secretas.

Para reduzir esta vulnerabilidade, pesquisadores do MIT e do MIT-IBM Watson AI Lab criaram um acelerador de aprendizado de máquina que é resistente aos dois tipos mais comuns de ataques. Seu chip pode manter privados os registros de saúde, informações financeiras ou outros dados confidenciais de um usuário, ao mesmo tempo que permite que enormes modelos de IA sejam executados com eficiência nos dispositivos.

A equipe desenvolveu várias otimizações que permitem uma segurança forte, ao mesmo tempo que tornam o dispositivo apenas ligeiramente lento. Além disso, a segurança adicional não afeta a precisão dos cálculos. Este acelerador de aprendizado de máquina pode ser particularmente benéfico para aplicações exigentes de IA, como realidade aumentada e virtual ou direção autônoma.

Embora a implementação do chip tornasse um dispositivo um pouco mais caro e menos eficiente em termos energéticos, às vezes é um preço que vale a pena pagar pela segurança, disse a autora principal Maitreyi Ashok, estudante de graduação em Engenharia Elétrica e Ciência da Computação (EECS) no MIT.

"É importante projetar com a segurança em mente desde o início. Se você estiver tentando adicionar pelo menos uma quantidade mínima de segurança após um sistema ter sido projetado, isso será proibitivamente caro. Conseguimos equilibrar efetivamente muitas dessas compensações durante a fase de design", disse Ashok.

Os pesquisadores focaram em um tipo de acelerador de aprendizado de máquina chamado computação digital na memória. Um chip IMC digital realiza cálculos dentro da memória de um dispositivo, onde peças de um modelo de aprendizado de máquina são armazenadas após serem movidas de um servidor central.

O modelo inteiro é grande demais para ser armazenado no dispositivo, mas ao dividi-lo em pedaços e reutilizá-los tanto quanto possível, os chips IMC reduzem a quantidade de dados que devem ser movidos para frente e para trás.

Mas os chips IMC podem ser suscetíveis a hackers. Em um ataque de canal lateral, um hacker monitora o consumo de energia do chip e usa técnicas estatísticas para fazer engenharia reversa dos dados enquanto o chip computa. Em um ataque de sondagem de barramento, o hacker pode roubar bits do modelo e do conjunto de dados testando a comunicação entre o acelerador e a memória fora do chip.

O IMC digital acelera a computação ao realizar milhões de operações ao mesmo tempo, mas essa complexidade torna difícil prevenir ataques usando medidas de segurança tradicionais, disse Ashok.

Ela e seus colaboradores adotaram uma abordagem tripla para bloquear ataques de canal lateral e de sondagem de ônibus.

Primeiro, eles empregaram uma medida de segurança em que os dados do IMC são divididos em partes aleatórias. Por exemplo, um bit zero pode ser dividido em três bits que ainda são iguais a zero após uma operação lógica. O IMC nunca computa com todas as peças na mesma operação, portanto, um ataque de canal lateral nunca poderia reconstruir a informação real.

Mas para que esta técnica funcione, bits aleatórios devem ser adicionados para dividir os dados. Como o IMC digital executa milhões de operações ao mesmo tempo, gerar tantos bits aleatórios envolveria muita computação. Para seu chip, os pesquisadores encontraram uma maneira de simplificar os cálculos, facilitando a divisão eficaz dos dados e eliminando a necessidade de bits aleatórios.

Em segundo lugar, eles evitaram ataques de sondagem de barramento usando uma cifra leve que criptografa o modelo armazenado na memória fora do chip. Esta cifra leve requer apenas cálculos simples. Além disso, eles só descriptografaram as peças do modelo armazenadas no chip quando necessário.

Terceiro, para melhorar a segurança, eles geraram a chave que descriptografa a cifra diretamente no chip, em vez de movê-la para frente e para trás com o modelo. Eles geraram essa chave exclusiva a partir de variações aleatórias no chip introduzidas durante a fabricação, usando o que é conhecido como função fisicamente não clonável.

"Talvez um fio seja um pouco mais grosso que outro. Podemos usar essas variações para tirar zeros e uns de um circuito. Para cada chip, podemos obter uma chave aleatória que deve ser consistente porque essas propriedades aleatórias não devem mudar significativamente ao longo do tempo", explicou Ashok.

Eles reutilizaram as células de memória do chip, aproveitando as imperfeições dessas células para gerar a chave. Isso requer menos computação do que gerar uma chave do zero.

"À medida que a segurança se tornou uma questão crítica no projeto de dispositivos de borda, há a necessidade de desenvolver uma pilha de sistema completa com foco na operação segura. Este trabalho se concentra na segurança para cargas de trabalho de aprendizado de máquina e descreve um processador digital que usa otimização transversal. Ele incorpora acesso a dados criptografados entre a memória e o processador, abordagens para prevenir ataques de canal lateral usando randomização e explorar a variabilidade para gerar códigos exclusivos. Esses projetos serão críticos em futuros dispositivos móveis", disse Anantha Chandrakasan, chefe de inovação e desenvolvimento do MIT. oficial de estratégia, Reitor da Escola de Engenharia e Professor Vannevar Bush do EECS.

Para testar seu chip, os pesquisadores assumiram o papel de hackers e tentaram roubar informações secretas usando ataques de canal lateral e de sondagem de barramento.

Mesmo depois de fazer milhões de tentativas, eles não conseguiram reconstruir nenhuma informação real ou extrair partes do modelo ou conjunto de dados. A cifra também permaneceu inquebrável. Por outro lado, foram necessárias apenas cerca de 5.000 amostras para roubar informações de um chip desprotegido.

No entanto, a adição de segurança reduziu a eficiência energética do acelerador e também exigiu uma área maior do chip, o que tornaria sua fabricação mais cara.

A equipe está planejando explorar métodos que possam reduzir o consumo de energia e o tamanho do seu chip no futuro, o que facilitaria a implementação em escala.

"À medida que se torna demasiado caro, torna-se mais difícil convencer alguém de que a segurança é crítica. O trabalho futuro poderia explorar estas compensações. Talvez pudéssemos torná-lo um pouco menos seguro, mas mais fácil de implementar e menos dispendioso", disse Ashok.

Fonte