Пациент с сердечным приступом, недавно выписанный из больницы, использует смарт-часы, чтобы отслеживать сигналы электрокардиограммы. Умные часы могут показаться безопасными, но нейронная сеть, обрабатывающая эту информацию о здоровье, использует личные данные, которые все еще могут быть украдены злоумышленником посредством атаки по побочному каналу.

Атака по побочному каналу направлена ​​на сбор секретной информации путем косвенного использования системы или ее оборудования. В одном из типов атаки по побочному каналу опытный хакер может отслеживать колебания энергопотребления устройства, в то время как нейронная сеть работает для извлечения защищенной информации, которая «просачивается» из устройства.

«В фильмах, когда люди хотят открыть запертые сейфы, они слушают щелчки замка, когда поворачивают его. Это показывает, что, вероятно, поворот замка в этом направлении поможет им двигаться дальше. Вот что такое атака по побочному каналу. Это просто использование непреднамеренной информации и ее использование для прогнозирования того, что происходит внутри устройства», — говорит Саурав Маджи, аспирант кафедры электротехники и информатики Массачусетского технологического института (EECS) и ведущий автор статьи, посвященной этой проблеме. проблема.

Существующие методы, которые могут предотвратить некоторые атаки по побочным каналам, заведомо энергоемки, поэтому они часто не подходят для устройств Интернета вещей (IoT), таких как умные часы, которые полагаются на вычисления с меньшим энергопотреблением.

Теперь Маджи и его сотрудники создали интегральную микросхему , которая может защищать от атак по сторонним каналам питания, потребляя при этом гораздо меньше энергии, чем обычная техника безопасности . Чип размером меньше ногтя миниатюры может быть встроен в смарт-часы, смартфон или планшет для выполнения безопасных вычислений машинного обучения на основе значений датчиков.

«Цель этого проекта — создать интегральную схему, которая выполняет машинное обучение на периферии, чтобы она по-прежнему потребляла мало энергии, но могла защищать от атак по сторонним каналам, чтобы мы не теряли конфиденциальность этих моделей», — говорит Ананта Чандракасан, декан Инженерной школы Массачусетского технологического института, профессор электротехники и информатики Ванневара Буша и старший автор статьи. «Люди не обращали особого внимания на безопасность этих алгоритмов машинного обучения, и предлагаемое оборудование эффективно решает эту проблему».

В число соавторов входят Утсав Банерджи, бывший аспирант EECS, который в настоящее время является доцентом кафедры разработки электронных систем Индийского института науки, и Сэмюэл Фуллер, приглашенный ученый Массачусетского технологического института и выдающийся научный сотрудник Analog Devices. Исследование будет представлено на Международной конференции твердотельных цепей.

Случайное вычисление

Чип, разработанный командой, основан на особом типе вычислений, известном как пороговые вычисления. Вместо того, чтобы нейронная сеть работала с фактическими данными, данные сначала разбиваются на уникальные случайные компоненты. Сеть работает с этими случайными компонентами по отдельности в случайном порядке, прежде чем накапливать окончательный результат.

По словам Маджи, при использовании этого метода утечка информации из устройства происходит случайным образом, поэтому он не раскрывает никакой фактической информации по сторонним каналам. Но этот подход более затратен в вычислительном отношении, поскольку нейронная сеть теперь должна выполнять больше операций, а также требует больше памяти для хранения беспорядочной информации.

Итак, исследователи оптимизировали процесс, используя функцию, которая уменьшает количество умножений, необходимых нейронной сети для обработки данных, что снижает требуемую вычислительную мощность. Они также защищают саму нейтральную сеть, шифруя параметры модели. Группируя параметры в блоки перед их шифрованием, они обеспечивают большую безопасность при одновременном уменьшении объема памяти, необходимого на микросхеме.

«Используя эту специальную функцию, мы можем выполнять эту операцию, пропуская некоторые шаги с меньшими последствиями, что позволяет нам уменьшить накладные расходы. Мы можем снизить стоимость, но это сопряжено с другими затратами с точки зрения точности нейронной сети . Итак, мы должны сделать разумный выбор алгоритма и архитектуры, которые мы выбираем», — говорит Маджи.

Существующие безопасные методы вычислений, такие как гомоморфное шифрование, предлагают надежные гарантии безопасности, но требуют огромных накладных расходов по площади и мощности, что ограничивает их использование во многих приложениях. Предложенный исследователями метод, направленный на обеспечение того же типа безопасности, позволил снизить потребление энергии на три порядка. Оптимизировав архитектуру чипа, исследователи также смогли использовать меньше места на кремниевом чипе, чем аналогичное оборудование для обеспечения безопасности, что является важным фактором при внедрении чипа на устройства персонального размера.

«Безопасность имеет значение»

Обеспечивая значительную защиту от атак по сторонним каналам питания, микросхема исследователей требует в 5,5 раз больше энергии и в 1,6 раза больше площади кристалла, чем базовая небезопасная реализация.

«Мы находимся в той точке, где безопасность имеет значение. Мы должны быть готовы пожертвовать некоторым количеством энергии, чтобы сделать вычисления более безопасными. Это не бесплатный обед. Будущие исследования могут быть сосредоточены на том, как уменьшить количество накладных расходов. чтобы сделать это вычисление более безопасным», — говорит Чандракасан.

Они сравнили свой чип с реализацией по умолчанию, в которой не было оборудования для обеспечения безопасности. В реализации по умолчанию они смогли восстановить скрытую информацию после сбора около 1000 сигналов мощности (представлений об использовании энергии во времени) с устройства. С новым оборудованием, даже после сбора 2 миллионов осциллограмм, они все еще не могли восстановить данные.

Они также протестировали свой чип с данными биомедицинских сигналов, чтобы убедиться, что он будет работать в реальных условиях. Чип является гибким и может быть запрограммирован на любой сигнал, который пользователь хочет проанализировать, объясняет Маджи.

В будущем исследователи надеются применить свой подход к электромагнитным атакам по сторонним каналам. От таких атак сложнее защититься, так как хакеру не нужно физическое устройство для сбора скрытой информации.