中文 英语

安全缺口开源硬件和人工智能

专家在餐桌上:AI系统为何如此难以保障,以及战略部署来改变什么。

受欢迎程度

半导体工程坐下来讨论安全风险与海伦娜Handschuh跨多个细分市场,安全技术研究员Rambus;迈克•Borza小组主要安全技术解决方案Synopsys对此;航空航天和国防应用解决方案的主管史蒂夫•卡尔森节奏;高级硬件Alric Althoff安全工程师龟岛的逻辑;首席科学家和乔Kiniry伽罗瓦,国家安全的一个研发中心。讨论下面的摘录,住在虚拟硬件安全峰会举行。本文的第一部分,点击在这里

SE:如果一个芯片应该持续超过10年,很可能有人能够砍在它的生命周期。有办法建筑师芯片,这样不会发生?

Borza:安全一些有趣的方法是建立在你不知道威胁来临,但是你可以保持震动芯片的行为,防止有人获得一个立足点发动袭击。一种方法包括随机化的概念的操作处理器和添加噪声不断动摇了。即使你能立足攻击滚到芯片,在几秒钟它改变你。这类方法是通过DARPA项目开始开发,他们探索设计自动化的使用,还有很多安全自动化的烤到硅在一个非常低的水平。

卡尔森:那是非常有趣的东西,您希望监视一切,每一个可能的攻击表面温度,AC / DC的水平。如果你有监控功能,你如何应对不同的场景可以更新处理新类型的攻击,和新组合的攻击。你必须识别和某种修复的基础。但我不希望我们能够防止攻击10年时间。这看起来非常乐观基于我今天看过黑客社区。

Handschuh:还有一件事值得一提的,这是一种新方法,是RISC-V RISC-V基金会和国际的工作努力的方向。他们试图完全开源的设计,确保每个人都看到的,不一定是免费的,但开源——这样我们都可以从相同的基础。是的,当然,我们会发现错误和问题,但你将能够解决这些。我们前进,我们越了解一切,这样,在全球范围内,每个人都受过教育的更多的关于如何安全地。安全是一个大的一部分。所以还是有希望的。

Kiniry:我们将学到很多关于这个,因为这些安全架构正在审查现在在DARPA的第一个bug赏金运动,称为·费特。我们在幕后运行它,这是有趣的观看数百个红组员攻击这些darpa资助的平台,发现有趣的事情,并通过这些迭代周期。芯片来自学术团队主承包商正在仔细审查,尽你所能做的在分布式红色的团队环境。我们将会看到越来越多的前进。

Handschuh:出版什么?

Kiniry我主张,我们将会看到这是如何工作的。从·费特他们学习很多东西。我不会感到惊讶,如果我们有一个明年第二版。最酷的练习是我们构建的基础设施是一种可重用的其他类似的方式练习,都是部署在AWS上。所以我们实际运行像10个不同soc在AWS F1整个运动与操作系统、安全的区域,以及其他所有的一切。

Handschuh有未来的网络渗透测试解决方案硬件?

Kiniry:这是偶尔以特别的方式完成的,但是我们正在与Synack。Synack这是第一次订婚,你做过模拟硬件在云中,作为一个练习的一部分。每个人都学到了很多。出来,我们将学习是否有理由继续这样做。

卡尔森:回到开放源码,有很多希望和承诺,但有硬币的另一面,。你总是想知道谁是开源项目的花费他们所有的时间,和他们的意图是什么。似乎没有短缺的人有些尴尬的意图,如果不是邪恶的。

Borza:开源一直很好,但它不是一个要义。我们看到开源软件的情况下有长期存在的缺陷或安全缺陷,在没有人找到他们感兴趣的或分析的东西。因此而开源的想法是伟大的每个人都能看着它,理解它,并找出是否有漏洞存在,除非人们实际正在做,你不会得到任何更多的洞察力。通常发生的是公司只是捡东西,使用它而无需支付任何开发费用。他们不支持正在进行的安全发展。你有一个非常相似的情况与开源硬件。无聊,这是验证和测试的一部分的所有角落。大量艰苦的工作,很难证明除非芯片行业需要从公司的基础上,有效地重复验证处理器内核为每一个芯片的工作他们扑灭。

卡尔森:我最喜欢的故事涉及到Linux。有一个错误,如果你按住空格键你成为根。它永远在那里。

Kiniry1990年代:感觉现在这个谈话,因为我们看到的进化发生在软件。在早期,大家都说像我这样的人是疯狂的开源和贡献。这些天我工作在开源硬件,我的客户不会买东西,除非他们完全透明一直到物理设计,以及兽医硬件的工具。如果你建立一个工具,是一个黑盒,你做出承诺,你把你的手在你的心,我的大多数客户将拒绝承诺无论多么honest-looking你。

SE:让我们深入到透明。我们开始看到有人工智能的一个问题是,大部分的这些东西是一个黑盒子。我们不一定有透明度的算法以及它们如何改变,和用例将发生变化,随后呈现不同的安全风险。我们如何添加透明吗?

Althoff:有一些学术工作透明度,特别是发现安全区域和应用约束模型。很多安全是确保属性和主动防御将是其中的一部分。我们可能会看到人工智能是为了确保另一个AI是正常的行为。

Kiniry:现在有几个DARPA计划提上日程,因为关注人工智能研究的增长和爆炸在国防部和它的使用。如果一个人工智能是一个黑盒,尤其是如果它是用于安全性至关重要或关键任务设置,这是不能接受的,如果它只是给你一个承诺,说,“相信我。“你不相信。现在有几个新的研究项目将可辩解的AI,您可以构建软件,硬件,AI平台给理由的证据他们提供答案。这是一个全新的观点。

卡尔森:你怎么解释解释的吗?

Kiniry:大部分AI并归结为仅仅是一个相当复杂的方程。

Handschuh:我们目睹AI有点不同,但也类似于安全。有点不同,因为我们已经达到了一个点在我们人类的深度学习不一定明白是怎么回事了。它超出了我们的心理计算能力。结果看起来正确的某种形式,但我们真的不知道发生了什么。安全在未来可能会达到这一水平,同样,当我们有很多行代码或硬件等价,我们自己不可能算出来了。我们需要的工具。也许有一天,即使不能完全覆盖所有的工具了。这是一个对未来的问题。

SE:有两个方面。首先,你可以影响的训练算法非常微妙的变化,和毒药的代码。第二,在推论方面,系统可能不是做你认为应该做的事情,你不知道为什么。在这两方面有何进展?

Borza:是的,有。人们试图让AI算法更可辩解的,也给一些内部的可观测性。但从根本上发生了什么有不连续的数据集用于训练,这些不连续不一定代表自己是线性响应。的反应极其非线性遇到情况时AI还没有训练了。这是我们真的需要开始解决的一件事,你是否能够有一个线性响应这些根本不连续问题,或者是否可以解一组不连续的输入数据。随着时间的推移,会改善。但有一段时间了,可能很长一段时间,系统将做事情有时似乎完全脱轨。

卡尔森:就像人。

SE:很多安全涉及一个厂商的解决方案,但是我们看看未来的设计,有更多的多供应商、异构设计未来。每一个可能有不同的安全级别。我们如何构建到架构所以没有问题吗?这包括更新,因为不同可能更新的算法在不同的时间有不同的功能。

Handschuh:首先,有一个在所有这些设备生命周期的概念,包括多个ip,芯片,soc或碎片,放在一起。然后几乎就像一个护照——一种身份,说这些都是我的作品,这些类型的服务每一块将呈现,这就是我期待从每一块。需要有更多的考虑我们如何确保它适合在一起,我们可以正确地跟踪哪一部分在这阶段,我们一直知道,“好了,这部分可能是落后一步。我们会等到它被更新重建和再确认安全水平随着我们继续前进。“我预想的护照给你的属性和特点,你可以说,“哪块是什么级别?”

Althoff:这是一个情况下你可能想通过威胁模型进行分类。你可能想说这些组件安全实体、环境和这些生存能力计划。如果你以这种方式把一切放在一起,在这种威胁模式下,您有一个保证。但你匹配问题的水平,并确保如果你创作这些组件,你有什么是正确的建设。

Kiniry:多长时间你见过任何一个IP和威胁模型吗?

Althoff:从来没有。

Kiniry:我们这里有一个基本的问题对我们今天构建可重用构件的方式,因为它不让本身可组合的安全。

Borza:我们所做的一部分与国际公共部门会计标准局(IP安全保证)Accellera正试图解决这个问题。我们开始建立一个标准化的方法交换信息的威胁模型,和部分的工作是喂CWE(常见的弱点枚举)硬件部分的数据库。著名的攻击是什么?修复的是什么?你如何试图发现这些在你船IP ?但你是对的,直到最近几年,大多数IP没有附带一个威胁模型。

Kiniry:我们所做的大部分工作是建立组件之间的接口,这样您就可以使用正式的技术保证了数据交换接口,或者至少保护自己对抗的系统组件被规避或后门或影响其他系统的其余部分。这就是我们花费我们大部分的精力,无论是汽车,国防部飞或其他的事情,在这些接口。这是一种无聊的工作。这就像解析器在硬件之类的。但至少这是一个地方,你可以建立一些有用的东西,驯良的,高性能的,同时提供了一些非常著名的担保。

Borza:它给你一种方法,作为系统组件设计,保护自己不受你来自系统内部的东西。但问题是,你如何使整个系统继续执行它应该的方式——或者至少完成尽可能多的使命,尽管你现在有部分的系统可能被削弱,行为恶劣?

Kiniry:当然,你不能printf硬件出了问题。

相关的
新的安全方法,新的威胁
技术和技术防止违反正在变得更加复杂,但攻击。
处理芯片的安全漏洞
挑战从持续的安全更新到预期寿命最后超出了使他们的公司。
安全知识中心
头条新闻,专题报告、视频、白皮书和博客上安全



1评论

周杰伦 说:

随机听起来不错在短但它实际上在长远来看一场灾难。所以如何?其混沌发生器和促进歧视(刻板印象),而不是分化。

留下一个回复


(注意:这个名字会显示公开)

Baidu