El chip seguro de IA permite una computación rápida y energéticamente eficiente en teléfonos inteligentes al mismo tiempo que protege los datos del usuario

Electrónica y sensores INSIDER

Un nuevo chip puede acelerar de manera eficiente las cargas de trabajo de aprendizaje automático en dispositivos periféricos como teléfonos inteligentes y, al mismo tiempo, proteger los datos confidenciales de los usuarios de dos tipos comunes de ataques:ataques de canal lateral y ataques de sondeo de bus. (Imagen:figura del chip cortesía de los investigadores; MIT News; iStock)

Las aplicaciones de seguimiento de la salud pueden ayudar a las personas a controlar enfermedades crónicas o mantenerse al día con sus objetivos de acondicionamiento físico, utilizando nada más que un teléfono inteligente. Sin embargo, estas aplicaciones pueden ser lentas y energéticamente ineficientes porque los enormes modelos de aprendizaje automático que las impulsan deben transferirse entre un teléfono inteligente y un servidor de memoria central.

Los ingenieros suelen acelerar las cosas utilizando hardware que reduce la necesidad de mover tantos datos de un lado a otro. Si bien estos aceleradores de aprendizaje automático pueden agilizar la computación, son susceptibles a los atacantes que pueden robar información secreta.

Para reducir esta vulnerabilidad, investigadores del MIT y del MIT-IBM Watson AI Lab crearon un acelerador de aprendizaje automático que es resistente a los dos tipos de ataques más comunes. Su chip puede mantener privados los registros de salud, la información financiera u otros datos confidenciales de un usuario y, al mismo tiempo, permite que enormes modelos de IA se ejecuten de manera eficiente en los dispositivos.

El equipo desarrolló varias optimizaciones que permiten una seguridad sólida y al mismo tiempo ralentizan ligeramente el dispositivo. Además, la seguridad adicional no afecta la precisión de los cálculos. Este acelerador de aprendizaje automático podría resultar especialmente beneficioso para aplicaciones exigentes de IA, como la realidad virtual y aumentada o la conducción autónoma.

Si bien la implementación del chip haría que un dispositivo fuera un poco más caro y menos eficiente energéticamente, a veces es un precio que vale la pena pagar por la seguridad, afirmó el autor principal Maitreyi Ashok, estudiante graduado en Ingeniería Eléctrica y Ciencias de la Computación (EECS) en el MIT.

"Es importante diseñar teniendo en cuenta la seguridad desde cero. Si intentas agregar incluso una cantidad mínima de seguridad después de diseñar un sistema, es prohibitivamente costoso. Pudimos equilibrar de manera efectiva muchas de estas compensaciones durante la fase de diseño", afirmó Ashok.

Los investigadores se centraron en un tipo de acelerador de aprendizaje automático llamado computación digital en memoria. Un chip IMC digital realiza cálculos dentro de la memoria de un dispositivo, donde se almacenan piezas de un modelo de aprendizaje automático después de ser trasladadas desde un servidor central.

El modelo completo es demasiado grande para almacenarlo en el dispositivo, pero al dividirlo en pedazos y reutilizarlos tanto como sea posible, los chips IMC reducen la cantidad de datos que se deben mover de un lado a otro.

Pero los chips IMC pueden ser susceptibles a los piratas informáticos. En un ataque de canal lateral, un hacker monitorea el consumo de energía del chip y utiliza técnicas estadísticas para aplicar ingeniería inversa a los datos mientras el chip calcula. En un ataque de sondeo de bus, el hacker puede robar bits del modelo y del conjunto de datos sondeando la comunicación entre el acelerador y la memoria fuera del chip.

El IMC digital acelera el cálculo al realizar millones de operaciones a la vez, pero esta complejidad dificulta la prevención de ataques utilizando medidas de seguridad tradicionales, afirmó Ashok.

Ella y sus colaboradores adoptaron un enfoque triple para bloquear los ataques de canal lateral y de sondeo de autobuses.

Primero, emplearon una medida de seguridad en la que los datos del IMC se dividen en partes aleatorias. Por ejemplo, un bit cero podría dividirse en tres bits que aún son iguales a cero después de una operación lógica. El IMC nunca computa con todas las piezas en la misma operación, por lo que un ataque de canal lateral nunca podría reconstruir la información real.

Pero para que esta técnica funcione, se deben agregar bits aleatorios para dividir los datos. Debido a que el IMC digital realiza millones de operaciones a la vez, generar tantos bits aleatorios implicaría demasiada computación. Para su chip, los investigadores encontraron una manera de simplificar los cálculos, facilitando la división efectiva de datos y eliminando la necesidad de bits aleatorios.

En segundo lugar, impidieron ataques de sondeo de bus utilizando un cifrado ligero que cifra el modelo almacenado en la memoria fuera del chip. Este cifrado liviano solo requiere cálculos simples. Además, sólo descifraron las piezas del modelo almacenadas en el chip cuando fue necesario.

En tercer lugar, para mejorar la seguridad, generaron la clave que descifra el cifrado directamente en el chip, en lugar de moverlo de un lado a otro con el modelo. Generaron esta clave única a partir de variaciones aleatorias en el chip que se introducen durante la fabricación, utilizando lo que se conoce como una función físicamente no clonable.

"Tal vez un cable sea un poco más grueso que otro. Podemos usar estas variaciones para obtener ceros y unos de un circuito. Para cada chip, podemos obtener una clave aleatoria que debería ser consistente porque estas propiedades aleatorias no deberían cambiar significativamente con el tiempo", explicó Ashok.

Reutilizaron las celdas de memoria del chip, aprovechando las imperfecciones de estas celdas para generar la clave. Esto requiere menos cálculo que generar una clave desde cero.

"Dado que la seguridad se ha convertido en un tema crítico en el diseño de dispositivos de borde, existe la necesidad de desarrollar un sistema completo centrado en el funcionamiento seguro. Este trabajo se centra en la seguridad para cargas de trabajo de aprendizaje automático y describe un procesador digital que utiliza optimización transversal. Incorpora acceso a datos cifrados entre la memoria y el procesador, enfoques para prevenir ataques de canales laterales mediante aleatorización y explotación de la variabilidad para generar códigos únicos. Dichos diseños serán críticos en futuros dispositivos móviles", afirmó Anantha Chandrakasan, directora del MIT. Oficial de Innovación y Estrategia, Decano de la Escuela de Ingeniería y Profesor Vannevar Bush de EECS.

Para probar su chip, los investigadores asumieron el papel de piratas informáticos e intentaron robar información secreta mediante ataques de canal lateral y de sondeo de bus.

Incluso después de hacer millones de intentos, no pudieron reconstruir ninguna información real ni extraer partes del modelo o conjunto de datos. La cifra también siguió siendo indescifrable. Por el contrario, sólo se necesitaron unas 5.000 muestras para robar información de un chip desprotegido.

Sin embargo, la adición de seguridad redujo la eficiencia energética del acelerador y también requirió un área de chip más grande, lo que encarecería su fabricación.

El equipo planea explorar métodos que podrían reducir el consumo de energía y el tamaño de su chip en el futuro, lo que facilitaría su implementación a escala.

"A medida que se vuelve demasiado costoso, resulta más difícil convencer a alguien de que la seguridad es fundamental. El trabajo futuro podría explorar estas compensaciones. Tal vez podríamos hacerlo un poco menos seguro pero más fácil de implementar y menos costoso", afirmó Ashok.

Fuente