Aplicaciones de seguimiento de la salud puede ayudar a las personas a controlar enfermedades crónicas o mantenerse al día con sus objetivos de acondicionamiento físico, usando nada más que un teléfono inteligente. Sin embargo, estas aplicaciones pueden ser lentas y energéticamente ineficientes porque los enormes modelos de aprendizaje automático que las impulsan deben transferirse entre un teléfono inteligente y un servidor de memoria central.
Los ingenieros suelen acelerar las cosas utilizando hardware que reduce la necesidad de mover tantos datos de un lado a otro. Si bien estos aceleradores de aprendizaje automático pueden agilizar la computación, son susceptibles a atacantes que pueden robar información secreta.
Para reducir esta vulnerabilidad, investigadores del MIT y del MIT-IBM Watson AI Lab crearon un acelerador de aprendizaje automático que es resistente a los dos tipos de ataques más comunes. Su chip puede mantener privados los registros de salud, la información financiera u otros datos confidenciales de un usuario y, al mismo tiempo, permite que enormes modelos de inteligencia artificial se ejecuten de manera eficiente en los dispositivos.
El equipo desarrolló varias optimizaciones que permiten una seguridad sólida y al mismo tiempo ralentizan ligeramente el dispositivo. Además, la seguridad adicional no afecta la precisión de los cálculos. Este acelerador de aprendizaje automático podría ser particularmente beneficioso para aplicaciones exigentes de IA como la realidad virtual y aumentada o la conducción autónoma.
Si bien la implementación del chip haría que un dispositivo fuera un poco más caro y menos eficiente energéticamente, a veces es un precio que vale la pena pagar por la seguridad, dice el autor principal Maitreyi Ashok, estudiante graduado en ingeniería eléctrica e informática (EECS) en el MIT.
“Es importante diseñar teniendo en cuenta la seguridad desde cero. Si intenta agregar incluso una cantidad mínima de seguridad después de diseñar un sistema, resulta prohibitivamente costoso. Pudimos equilibrar eficazmente muchas de estas compensaciones durante la fase de diseño”, afirma Ashok.
Sus coautores incluyen a Saurav Maji, estudiante de posgrado de EECS; Xin Zhang y John Cohn del MIT-IBM Watson AI Lab; y la autora principal Anantha Chandrakasan, directora de estrategia e innovación del MIT, decana de la Escuela de Ingeniería y profesora Vannevar Bush de EECS. La investigación se presentará en la Conferencia de circuitos integrados personalizados del IEEE.
Susceptibilidad al canal lateral
Los investigadores se centraron en un tipo de acelerador de aprendizaje automático llamado computación digital en memoria. Un chip IMC digital realiza cálculos dentro de la memoria de un dispositivo, donde se almacenan piezas de un modelo de aprendizaje automático después de ser trasladadas desde un servidor central.
El modelo completo es demasiado grande para almacenarlo en el dispositivo, pero al dividirlo en pedazos y reutilizarlos tanto como sea posible, los chips IMC reducen la cantidad de datos que deben moverse de un lado a otro.
Pero los chips IMC pueden ser susceptibles a los piratas informáticos. En un ataque de canal lateral, un hacker monitorea el consumo de energía del chip y utiliza técnicas estadísticas para aplicar ingeniería inversa a los datos mientras el chip calcula. En un ataque de sondeo de bus, el hacker puede robar bits del modelo y del conjunto de datos sondeando la comunicación entre el acelerador y la memoria fuera del chip.
El IMC digital acelera el cálculo al realizar millones de operaciones a la vez, pero esta complejidad dificulta la prevención de ataques utilizando medidas de seguridad tradicionales, afirma Ashok.
Ella y sus colaboradores adoptaron un enfoque triple para bloquear los ataques de canales laterales y de sondeo de autobuses.
Primero, emplearon una medida de seguridad en la que los datos del IMC se dividen en partes aleatorias. Por ejemplo, un bit cero podría dividirse en tres bits que aún son iguales a cero después de una operación lógica. El IMC nunca computa con todas las piezas en la misma operación, por lo que un ataque de canal lateral nunca podría reconstruir la información real.
Pero para que esta técnica funcione, se deben agregar bits aleatorios para dividir los datos. Debido a que el IMC digital realiza millones de operaciones a la vez, generar tantos bits aleatorios implicaría demasiada computación. Para su chip, los investigadores encontraron una manera de simplificar los cálculos, facilitando la división efectiva de datos y eliminando la necesidad de bits aleatorios.
En segundo lugar, impidieron ataques de sondeo de bus utilizando un cifrado ligero que cifra el modelo almacenado en la memoria fuera del chip. Este cifrado liviano solo requiere cálculos simples. Además, sólo descifraron las piezas del modelo almacenadas en el chip cuando fue necesario.
En tercer lugar, para mejorar la seguridad, generaron la clave que descifra el cifrado directamente en el chip, en lugar de moverlo de un lado a otro con el modelo. Generaron esta clave única a partir de variaciones aleatorias en el chip que se introducen durante la fabricación, utilizando lo que se conoce como una función físicamente no clonable.
“Tal vez un cable sea un poco más grueso que otro. Podemos usar estas variaciones para sacar ceros y unos de un circuito. Para cada chip, podemos obtener una clave aleatoria que debería ser consistente porque estas propiedades aleatorias no deberían cambiar significativamente con el tiempo”, explica Ashok.
Reutilizaron las celdas de memoria del chip, aprovechando las imperfecciones de estas celdas para generar la clave. Esto requiere menos cálculo que generar una clave desde cero.
“Dado que la seguridad se ha convertido en un tema crítico en el diseño de dispositivos perimetrales, existe la necesidad de desarrollar una pila de sistema completa que se centre en el funcionamiento seguro. Este trabajo se centra en la seguridad para cargas de trabajo de aprendizaje automático y describe un procesador digital que utiliza optimización transversal. Incorpora acceso a datos cifrados entre la memoria y el procesador, enfoques para prevenir ataques de canal lateral mediante aleatorización y explotación de la variabilidad para generar códigos únicos. Estos diseños serán fundamentales en los dispositivos móviles del futuro”, afirma Chandrakasan.
Pruebas de seguridad
Para probar su chip, los investigadores asumieron el papel de piratas informáticos e intentaron robar información secreta mediante ataques de canal lateral y de sondeo de bus.
Incluso después de hacer millones de intentos, no pudieron reconstruir ninguna información real ni extraer partes del modelo o conjunto de datos. La cifra también siguió siendo indescifrable. Por el contrario, sólo se necesitaron unas 5.000 muestras para robar información de un chip desprotegido.
La adición de seguridad redujo la eficiencia energética del acelerador y también requirió un área de chip más grande, lo que encarecería su fabricación.
El equipo planea explorar métodos que podrían reducir el consumo de energía y el tamaño de su chip en el futuro, lo que facilitaría su implementación a escala.
“A medida que se vuelve demasiado caro, resulta más difícil convencer a alguien de que la seguridad es fundamental. El trabajo futuro podría explorar estas compensaciones. Tal vez podríamos hacerlo un poco menos seguro pero más fácil de implementar y menos costoso”, afirma Ashok.
Escrito por Adam Zewe
!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n;
n.push=n;n.loaded=!0;n.version=’2.0′;n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,
document,’script’,’https://connect.facebook.net/en_US/fbevents.js’);
fbq(‘init’, ‘1254095111342376’);
fbq(‘track’, ‘PageView’);
Publicado anteriormente en The European Times.
