芯片和人工智能系统中的安全权衡

半导体工程公司坐下来讨论芯片架构和人工智能系统安全的成本和有效性，与Vic Kulkarni，副总裁兼首席策略师有限元分析软件；的联合创始人兼首席技术官Jason Oberg龟岛的逻辑；Borsetta首席执行官兼创始人Pamela Norton;Ron Perez，安全架构的研究员和技术主管英特尔；蒂姆·惠特菲尔德，公司战略副总裁手臂．以下是那次谈话的节选，是在虚拟硬件安全峰会．本讨论的第一部分是在这里．第三部分是在这里．

SE:纵观不同的市场，没有一个市场对“足够好”的证券有明确的定义。它是否因应用程序或层而异?与其他系统相比，您是否为某些系统分配了更多的资源，特别是当它们都是相互连接的时候?

佩雷斯:“足够好”有时是由政府监管机构定义的，但大多数情况下是由客户和用户愿意支付和接受的。但你的问题更深入，深入到计算堆栈中的组件级别。在过去，对于硬件领域的许多人来说，划定一个可接受的边界是很容易的。正如我们在过去几年从侧面渠道了解到的那样，这些界限已经不存在了。作为一个行业，我们正在努力定义新的界限，而这些界限已经不再是我们设定的。除了政府空格，我们已经说过了方渠道都不在我们的范围内。现在他们不是了。考虑到各种各样的侧面渠道，其中许多我们还不知道，要知道我们在哪里划定界限是一个挑战。

奥伯格:它提出了风险管理、安全的业务含义，以及如何从技术角度和风险概况两方面了解您是否做得足够。在一个层面上，您要确保您已经实现了所需的安全特性和缓解措施，这样您的产品就不会容易受到某类攻击。在更高的层面上，根据你所服务的市场，你问自己的风险概况是什么?这是一种商业类型的度量。如果你看看更广泛的网络安全领域，这绝对是人们的心态。你有ciso和CSOs，他们看着他们的IT基础设施，他们的系统，并问，‘我的系统被入侵的风险是什么?这就是他们如何充分证明自己的支出是合理的。半导体行业可以采用同样的心态，说:“这是我在产品中构建的功能。以下是基于我所服务的市场，我试图避免的事情。然后，他们可以把这些数据汇总成一种更广泛的风险管理分析。即使你花了无限多的钱，你也不可能完全达到目标。但根据你所服务的市场，有一个最佳位置。 If you change the mindset to risk management or risk reduction, that will go a long way for the industry.

Whitfield:这是关于威胁建模。它在应用程序的基础上查看攻击面，并进行正确的威胁建模。您需要一个全面的安全方法。不仅仅是芯片和设备的问题。它一直贯穿物理层和软件到外部。是的，它将依赖于应用，因为它必须如此。但这也是关于第一阶段，查看威胁模型，决定你需要保护什么来抵御哪些攻击表面，以及你需要什么对策。

SE:这不仅仅是成本问题，对吧?它还涉及性能和电力开销。如果你添加了所有你想要的安全措施，你的芯片可能会很慢而且耗电。

佩雷斯基于我之前所说的，我还要提出另一个挑战。这不仅仅是监管环境或你的客户或公民社会组织今天的要求。考虑到开发产品需要很长时间，我们试图在今天决定什么是4年、5年、6年后可以接受的，因为我们的产品在10年后还会在市场上存在，或者在汽车领域存在更长的时间。现在这是一个水晶球类型的区域。

Whitfield:我同意PPA事情它正在变成PPAS。这也是安全问题。多年来，我们一直在性能、功率和面积之间进行权衡。我们现在正在增加安全措施。我们参与的DARPA AISS项目，以及其他项目，正在研究如何创建正确的工具和正确的框架来进行这些权衡。这真的很重要。

奥伯格:如果你一开始就考虑到这些问题，那么做出这些权衡就容易得多。通常会发生的情况是，专注于上市时间，发布产品，让它更小，更快，更低功耗。还有人说，‘我们需要一个针对这个市场的安全功能，因为我们想要有一些花哨的营销品牌。这将有助于我们的竞争定位。但如果你实际上在一开始就做出了这些权衡，你就可以以一种非常合理的方式实现安全，而成本也不会那么大。如果你试图在最后添加它，你只是买了一个大的IP块，把它放在那里，或者把它送到实验室，那么从金钱和功率/性能的角度来看，你的系统将会有更多的影响成本。

Kulkarni这让我想起一群工程师在设计一座桥。他们在应力应变分析等方面遵循了所有的施工规则，但桥梁仍然倒塌了。最近的Spectre攻击得到解决是非常令人钦佩的，因为没有人可以替换所有的硬件，但还有其他没有人预料到的故障机制，就像桥梁一样。在《Spectre》中，关注点迅速转移到操作系统和应用层，社区发现了这个问题并非常有效地解决了它。但就什么是足够好的而言，没有这样的东西。黑客正变得比我们更聪明。

Whitfield:是的，《幽灵党》的反响很好，但在性能方面是有成本的，而且修复这些问题需要财务成本。此外，在10年或15年前，没有人预测到这将成为一个问题。如果你一开始就知道，你可以做一个基础设计，它的影响就会小一些。

佩雷斯你也可以反驳，为什么像Spectre这样的投机性执行渠道可能不为人所知。但在70年代和80年代，也就是竞争早期，侧渠道就已经为人所知，作为一个行业，我们选择不在商业产品中解决这些问题。

诺顿:我们嵌入了一个防量子随机数生成器。原因是，展望五年后，我们知道我们目前所有的双因素认证都将被这些新的量子计算机入侵。它真正关注的是我们可以预先设计或拥有哪些元素，知道我们将面临当前身份验证过程的风险。它已经过了黄金时期。我们知道它从20世纪70年代就开始了。

奥伯格:这是一个非常好的观点。在软件领域，补救要容易得多。基本上，关于安全的关键事情之一是你永远不会预先弄清楚它的整个概念。你需要有一个过程和一种对它做出反应的方式。但是有一种更新硬件的方法是困难的。有一些方法可以通过更新某些固件来做到这一点。很明显,fpga有非常独特的机会。从安全的角度来看，从这些类型的部署中可以获得很多好处。但这必须是战略的一部分。在某些情况下，这是非常具有挑战性的-特别是与熔断/幽灵类型的问题。这些东西是不可更新的。你可以减轻它的某些方面，但很难更新。这是硬件的可怕之处之一，它进一步强调了进行更多早期投资的重要性，因为你无法更新来处理大量这些问题。

佩雷斯如果你可以让它变得可更新或更可配置，你也可以引入新的攻击向量。

SE:当我们开始在几乎所有地方增加智能时，这变得更加困难。人工智能和机器学习背后的整体理念是，这些系统将自动自我优化。但当他们这样做的时候，他们可能会与另一个不同。那么我们如何保证这些系统的安全呢?每个设备都不一样吗?

诺顿:当我们让这些神经网络进行处理时，你就会得到这些训练网络，它们将会进行实时学习和训练。所以它对我来说是个性化的——无论它在我的生活中起到什么作用。然后Siri和谷歌Home会听我的对话，知道我所有的信息。这就变成了一个隐私问题，谁是这个芯片的可信监护人，谁在管理我家里的机器人。它知道我的生活和孩子的一切。谁是那些管理数据、更新数据并确保我的个人身份被去识别的可信托管者?他们仍然在咀嚼和研究数据，得到他们需要的东西。我们正在引入越来越多的个人身份安全性，但所有第三方数据提供商仍然希望访问这些数据。

佩雷斯帕梅拉关于隐私的看法是对的，当我们谈论安全时，我们有时会忘记这一点。但如今，这绝对应该被更多地放在心上，尤其是在很多我们都在使用的消费品中，这些消费品对我们的生活有影响。但总的来说，这就是为什么可解释性，以及围绕人工智能可解释性的研究如此重要的原因之一。在大多数情况下，我们通过直觉和实验知道这些技术是有效的。但这很可怕，我们也不知道原因。我们无法解释为什么结果是这样的每一个细节，也无法解释这些方案对数据中毒的易感程度。这强调了数据完整性和机密性的重要性。

Kulkarni:我们如何在不同的工作负载、不同的条件下创建大量的训练数据集?如果你想到无人机或战斗机，甚至是坦克或士兵，所有的数据都向我们袭来。但是，我们如何利用这些训练数据集来建立对人工智能推理的全行业理解，以及查看这些因果关系，以避免此类攻击并尽可能地预防?

SE:更糟糕的是，这些系统都是黑盒。随着它们的进化和适应，为什么会发生变化，或者究竟发生了什么变化，这有多重要?我们对此有什么见解吗?

诺顿:这就是为什么在硬件级别上查看正在处理的数据是很重要的。我们在一个可信的执行环境中加密。你对数据进行了哈希运算，所以你有一个关于所发生事情的事务。你有能力使用这些分类账——你可以嵌入数以百万计的分类账——为有权访问这些分类账的人提供服务。然后你加入同态计算，它允许你在保持数据私有的情况下计算数据。你de-identifying。你有能力对这个芯片进行评级，说，‘好吧，这个芯片不仅在加密，而且这个芯片在使用同态加密处理数据，这确保了没有个人标识符。他说，我相信这就是市场的发展方向。我们通过同态计算得到了更好的性能，并且已经取得了一些非常重要的进展，这是令人兴奋的，因为这个概念已经存在了40年。这只是一个高计算和成本的问题。所以当我们再次考虑降低成本时，这是一种能够说这是一个值得信赖的人工智能推理芯片的方法吗? We can ensure that no person’s personal information is exposed, whether they’re being contact traced, or at the airport, whatever it might be. And in that trusted, executed environment, it’s encrypted, so only the FBI or whoever needs access can see that person’s face or identity to run the data, if they’ve got permission. I’m encouraged by what we have seen and some initiatives that we are launching here in the next month around private AI and privacy issues, specifically around homomorphic computing, and how can we encourage and create more of those opportunities in the industry to ensure that our privacy and the data is secure.

SE:澄清一下，同态计算意味着你实际上没有解密任何东西。所有的计算都是加密的，对吧?

诺顿:是的，而且情况正在改善。我们每秒处理30万次交易。

佩雷斯:自从[计算机科学家克雷格]金特里在2009年取得突破以来，情况正在迅速好转。DARPA现在有一些相当大胆的目标。

-Susan Rambo对本文也有贡献。

相关文章
硬件安全更好，但攻击面正在增长
芯片安全经济学的根本性变化
是什么让芯片防篡改?
安全知识中心
理解puf
硬件攻击面扩大
确定芯片中真正需要保护的内容
我们YouTube频道的安全