Утечку данных машинного обучения предотвратит новая разработка MIT

Атаки по побочным каналам (side-channel attack), использующие доступную косвенную информацию, чтобы спрогнозировать, что происходит внутри устройства, в настоящее время предотвращаются ценой больших вычислительных затрат. Такой способ защиты не подходит для ограниченных в ресурсах устройств Интернета Вещей (IoT), например, для умных часов.

Обеспечить их безопасность призвана миниатюрная интегральная схема, разработанная в Массачусетском технологическом институте (MIT)  группой под руководством Ананты Чандракасана (Anantha Chandrakasan), декана Инженерной школы MIT. Чип можно встраивать в смарт-часы, смартфон или планшет для защиты машинного обучения на базе показаний датчиков.

Нейросеть чипа использует данные сенсоров не напрямую, а сначала случайным образом разделяет их на уникальные компоненты — так называемый метод пороговых вычислений.

Утечка по побочным каналам из такого устройства не раскрывает фактическую информацию, но этот подход требует больших вычислительных затрат, поскольку нейросеть должна выполнять дополнительные операции. Также требуется больше памяти для хранения рандомизованных данных.

Исследователям удалось оптимизировать  процесс, использовав функцию, которая уменьшает количество необходимых нейросети умножений, что снижает потребность в вычислительных ресурсах. Они также зашифровали параметры обучаемой модели, сгруппировав их по частям, чтобы уменьшить объём встроенной памяти.

В окончательном виде чип обеспечивает тот же уровень безопасности, что и применяемое сегодня гомоморфное шифрование, но расходует энергии на три порядка меньше. Кроме того, эта архитектура занимает на чипе меньше места, чем имеющиеся аналоги, что имеет большое значение с учётом внедрения в персональные устройства.

И все же, полученный чип потребляет энергии в 5,5 раз больше и занимает площадь в 1,6 раз больше, чем схема, лишённая такой защиты. По мнению исследователей, люди должны быть готовы пойти на такой компромисс, чтобы обеспечить безопасность, однако Чандракасан планирует сосредоточить дальнейшие исследования на том, как сделать гарантирование безопасности таких вычислений менее расходным.

Помимо того, учёные собираются применить свой подход к электромагнитным побочным атакам. От них сложнее защититься, так как хакеру не нужно физическое устройство для сбора скрытой информации.

Презентация результатов этой работы состоялась на Международной конференции по полупроводниковым схемам (ISSCC).