安全:损失超过收益

保罗•Kocher首席科学家Rambus的密码学研究部门,坐下来与半导体工程讨论新的安全威胁,人工智能和机器学习,如何工程师一个安全系统。以下是摘录的谈话。

SE:我们与安全吗?看来,不是变得更好,事情已经变得更糟的是在过去的一年。哪里的问题和如何关闭这些漏洞?

Kocher:在一个较高的水平,如果你想运行一些复杂的应用程序,运行大量的软件,防止它的泄漏的对手,这是一个地方我们失利。这是一个我们已经失去了很长一段时间。很难得到的东西会因为媒体缺少积极的和消极的信息。没有人写文章本周宣布这系统不是砍。另一方面,大多数攻击没有发现,这是一个目标,如果你是一个对手。如果你承认你已经违反了,攻击者已经搞砸了。那些被检测的商业模式,需要检测,像金融欺诈,或者他们不专业,如此规模的不幸或工作,他们已经无法隐藏。如果你看看被抓,有很多显然没有被报道。

SE:但这不仅仅是一个报告的问题,对吧?

Kocher是的,但是没有好的指标。你可以测量一个时钟坚持的速度数字示波器,看到多少千兆赫是奔跑。人们喜欢这些问题有一个清晰的、可衡量的,容易观察你是否正在取得进展。在安全,你没有。基本上这个不透明的东西,你问10个不同的从业人员应该做什么和你得到11个不同的答案。这是一种黑暗艺术,医学是之前被视为一门科学。从根本上使进展非常困难,因为你不知道这样的选择,你甚至是你在正确的方向上移动。

SE:所以你在哪里看到的进展吗?

Kocher:人们最终意识到晶体管的安全解决方案的成本并不高昂。如果你看看它的成本一个小型微处理器在一个死,然后你一分钱的数量级,这取决于逻辑添加。通常不需要任何成本,如果你不改变芯片的数量得到十字线本身。如果你有一些角落,否则这将是未使用的,你把一些逻辑估值如果它没有严格时间有限可以经常挤在芯片上的某个地方,它最终不会花费任何东西。所以我们看到很多这类事情发生。

SE:在哪里?

Kocher:如果你看看安第斯山脉的处理器,他们有一些安全处理器,补充大cpu。如果你看看英特尔,他们的数量。有一系列的事情开始发生在这些空间,但需要更多。还有一个问题,人训练优化的性能和效率。去添加一些补充说没有性能或效率很难做到。如果你看看其他结构工程等领域,需要你把钢比保持大厦站,这是完全自然的结构工程师。如果你对结构工程师说,你想做一些与成千上万的组件,其中任何一个会导致整个建筑倒塌如果没有完美的工作,他们会说你疯了。我们这样做已经很久了,硬件和软件工程,它是很难改变的心态说,“我想花10000美元使我的产品较慢,更昂贵的建造,因为它是安全的。但是我们这样做已经在很多其他行业多年。

SE:很多,从外部监管,然而,大部分的芯片行业从来没有来处理这个问题。

Kocher:可能需要监管或其他市场力量来改变行为。当然是真实的,如果你看看航空等行业,药品,和医学在某种程度上,改变已经发生和监管机构起到了一定作用。这仍然是一个小早在安全空间真正应用很多规则,因为我们完全不知道什么是最好的解决问题。当你到达这一点,每个人都应该系安全带在汽车安全带是什么样子,这是相当容易的,监管机构说,“好了,现在所有的汽车将配备安全带。还有现在很多实验。如果你控制一个特定的方法,它可能不是最好的。是什么让事情混乱。

SE:监管机构能做什么?

Kocher:他们可以调节你的期望产品如果它赔偿应该是安全的,因为现在大多数产品有安全漏洞,使它们不安全。试图找出哪些信息应该交付给客户做了什么可能会有所帮助。这肯定会让安全更容易如果它变得高度管制。

SE:你的专长是密码学领域之一。有什么改变吗?

Kocher:加密是一个安全,人们仍然非常希望真的可靠地工作。的大部分地区,这是能够履行这一承诺。人们通常知道提前很长时间如果有小裂缝防御的一种算法。现在,研究的领域之一是构建公钥系统抵抗量子计算机,本身就是十年或更长时间的实际规模,它们威胁到我们当前的密码结构。RSA算法和椭圆曲线加密标准,是使用最广泛的公钥算法diffie - hellman一样,都可以打破如果足够规模的量子计算机和可靠性出现。它不是一个直接的威胁,如果你看看医学类比,是什么导致了今天的问题实现bug。这些构成了可怕的和安全的直接威胁。从资源的角度看,建立电阻产品之前得到虫子并不是一个非常高的优先级。但从研究的角度来看,这是一个非常整洁的新数学和工程问题提出足够的算法对这些假设量子计算机。

SE:下一步是什么呢?

Kocher:有一些不错的建议,目前正在研究,并为那些有标准化过程。在很多方面,密码学与砖。你需要好的砖如果你想建立一个建筑,但是还有很多建筑比砖。你想找出你把算法和把它们放进协议和解决用户的实际安全问题和如何实现这些协议的方式是正确的。然后你必须把正确的方式实现成一个系统错误和系统的其他部分不妥协的安全协议。一个洋葱,一层一层的许多,加密通常的中心。算法本身在很多情况下相对微不足道的一部分,你需要为了解决最终的业务重点是隐私问题。

SE:机器学习和艾城的出现很快,大概是因为特斯拉的推进自主驾驶,接下来的竞争比赛。做那些提出任何红旗前没有安全,还是仅仅是一个延续的东西已经在玩吗?

Kocher:能人工智能,例如,开发可以识别漏洞的方式广泛部署software-perhaps甚至指导开发,目前人类手动过程耗时变成更多的访问和传播本身无处不在吗?我不认为会发生。然而,现在它是手动流程参与攻击的事情可能会协助通过基于ai工具可以做某种程度的软件分析。在防守端,有一个开放的问题是否AI可以学会理解属性software-hardware设计和告诉我们有用的东西。新利体育在线完整版例如,设计是否一个可能某些类别的bug。这是一个我要的东西是花一些时间看。有一个悬而未决的问题关于人工智能能走多远。当前人工智能应用程序往往是那些你优化的搜索空间或你有一个相对直接的大量训练数据的问题。但是理解复杂的逻辑很不适合到模具。显然有一些人工智能的发展需要。 The third category of questions around AI is how do we deal with these systems where they’re making judgments that are critical for safety or that are critical for us as humans, but we don’t actually understand what the decision-making process of the AI is. Driving is an example where if you don’t really understand how the AI know what a stop sign looks like, there’s a question of can we trust that with our lives.

SE:正确的答案是什么?

Kocher:这取决于是否有大规模全球失效模式和失效模式是否相对独立。如果你的AI偶尔遗漏了一个停车标志,甚至杀死的人一辆车,它可能仍然是最好有一个基于AI司机而不是一个人,盯着他们的手机有限的视野,或谁累了,可能更容易崩溃。我们已经有相当不错的数据安全性,例如,汽车。如果我们能让他们的订单大小更安全,即使他们不是完美的,它可能仍然是一个进步。的问题是否有全球大规模的失效模式,所有的汽车事故的发现是一个非常不同的问题。一些回到传统的软件安全问题,如如何安全地更新交付,如何确保你的训练集人工智能还没有被人篡改注入恶意数据。的问题我们将会看到在汽车空间可能涉及更多的挑战在类似的东西比具体的视觉分析和解释系统第一个人工智能的应用。

SE: AI甚至没有接近邪恶的哈尔在“2001:太空漫游”,但有些机器学习和参与这些推论系统。你如何看待发展吗?

Kocher:有事情在灰色地带。这样的游戏,扑克,规则集。您可以运行模拟,但是那些涉及现实世界收集任意数量的数据人工智能学习。与识别图像或手写识别等问题,它没有很多意义系统生成图像,它试图分析本身,因为它会在一些世界偏离了我们的现实世界。下面,软件技术很相似。它只是一个问题,你是否可以使用自己的系统来生成的原始数据,可以帮助你获得更好的还是从现实世界中得到的数据测试。

SE:提出一个有关安全的问题是如果一个系统学习本身有区别吗?

Kocher:有一个经典的攻击,已经做了很多次系统在机器学习训练。如果你有一个系统来检测汽车,你给它一只猫的照片,就会发现这不是一辆汽车。但如果你做出一个小变化picture-imperceptible改变几个像素,然后问,“这是接近被一辆汽车或远离汽车,“如果是近你不用找了,如果是远,你没有。然后你迭代,使小无法察觉的变化,只保留那些让它看起来更像一辆车,你会得到一只猫的照片,系统认为是一辆车。一个人看会说它显然是一只猫,但AI并不真正理解猫一定在我们所做的方式。它承认相关是一种体形似猫的东西,然后是无恶意的输入生成足够好。但是如果你开始做事情像故意生产技巧,系统可以敏感。这将是一个长时间的人工智能可以在一个环境非常有用,例如,有人可以制造必须正确输入文件特征或某种后果的发生。肯定会有一些问题,尽管他们将小相比传统计算机安全危机,我们在周围non-AI基础系统,这也将影响基于ai系统。如果你运行在一些云计算机器受损,不管你的算法是基于ai。 You’re still compromised.

SE:安全图片包含很多小的碎片。人工智能是一个组件。Mirai僵尸网络是另一块,小事情你别指望重要加起来大的东西,像第一个大规模物联网攻击。你也有标准的东西已经持续了一段时间,侵入服务器获得财务数据。他们可以解决在宏观层面上,考虑到现在一切都是连接,还是一切都必须单独处理?

Kocher:有一个点,你有一个特定的漏洞在一个特定的产品,而这些事情最终被当作一个特定的枪伤,可能在一个ER。一个病人进来人最好的处理无论你到那里,最小化的后果。有很多共同的事物不同的问题,根源往往很多步骤之前实际的产品被运往客户。这些需要大量的基础工作,所以我们不要让这些问题,他们不继续指数更为普遍和严重。包括很多硬件。现在,标准假设硬件的人,他们会忠实地执行指令,但这是软件人的工作,以确保没有错误的软件。这是一个非常方便的假设,如果你是一个硬件工程师,因为你可以把问题交给别人。这也是一个不正确的假设。软件,我们今天是车,所以如果你还建立的东西取决于大量的bug软件,你已经确保安全将会失败。相反,你应该问这样的问题,“我如何让它这样的软件,可以安全地运行,即使其他的软件是妥协?“软件的关键部分,如网络安全,需要完成的方式可以函数本身。 For example, IoT devices can be turned into DDoS blasters. But if they were configured in a way where they could only send image data out to somebody who connected into them first, and that data needed to be encrypted correctly with a well-verified network security stack coupled with redundancy, you wouldn’t be seeing this kind of problem. Starting at the hardware architecture level, we need to develop systems survive having at parts of them being buggy without that resulting in serious or catastrophic consequences.

SE:这是一个根本的重新思考和摆脱一些基本假设如何安全的硬件或网络。通常的方法是确保只有一条路可走。

Kocher:我们的世界,我们所有的受欢迎的设备软件的复杂性我们不一定相信,有很多不同类型的功能与安全属性co-reside在相同的设备。如果你觉得你的手机,电视,汽车,或任何一种多功能电子设备,它们很大程度上建立安全是一个bug,或者两个或三个,远离妥协。和每一个系统可能有错误充斥着错误。对手过程找到漏洞,开发和利用,可以接管一切设备上运行。我们需要更加耐用和可靠的机制,例如,视频游戏你玩不可以窃取你的银行凭证。它可能涉及使用独立的硬件。如果你考虑图形处理器的设计约束,为驱动力,但与其说security-driven。相比之下,将管理的凭证授权电汇真的可以缓慢,您可以构建使用1980年代的技术,它就可以了。有不同的设计约束。回到硬件问题,找出如何让高保证的芯片与存在,例如,高性能硅是芯片公司最终将不得不做很多更好如果人们制造产品使用硅在安全方面会成功。

SE:所以后退到60000英尺,我们不如几年前?

Kocher:防御有所改善,好多了,但是他们没有得到更好的和攻击者得到更强大的一样快。有三个独立的指数曲线,使攻击。首先是一个指数增加设备的复杂性,而直接对应的bug数量增加这些设备。如果我让10 x更复杂的东西,我将得到至少10 x尽可能多的错误,如果我的软件和设计质量保持不变。质量改善了如果你测量它在每行代码的基础上,但改善没有跟上越来越复杂。如果摩尔定律大大减缓,实际上可能会开始让安全迎头赶上。但在过去的十年里,摩尔定律已经超过我们调试的能力,提高质量。所以我们有一个指数我们正在失去地面相对于复杂的地方。

SE:另外两个是什么?

Kocher:有一个设备的数量快速增加。如果你回到15年,公司网络基本上是一群电脑。如果你看一个更现代的网络,你有一个巨大的异构混合不同种类的设备被连接到它。真正把资源的能力理解和维护安全的这些真的是有限的,在最终用户层和制造商。没有好的解决方案。第三领域我们已经失去了地面只是数据系统的价值上涨了很多。攻击者使事情变得更好。趋势有利于创建功能只是淹没我们的能力来保护系统和保持安全。我不认为这将极大地改变未来五年。我看不出任何银弹到来将在这样一个戏剧性的和快速的方式提高安全性,甚至使事情相当于现在的地方。我每年做的预测,12个月后将会有更多的壮观和安全漏洞比之前的12个月。 That’s been a fairly safe bet over the past decade plus.

有关的故事
物联网安全风险增加
专家在餐桌上,第3部分:为什么现有标准不足;不同的策略来保护连接设备;扩大的成本控制的影响。
物联网安全风险增加
专家在餐桌上,第2部分:Mirai Shodan,和安全漏洞在哪里;建立信任链从固体根;如何不会过时的安全。
发现意想不到的行为
首先两个部分。你的设计包含木马吗?大多数人永远不会知道,没有找到答案的能力。
混乱,发展移动支付安全
快速转换一些开发工作停滞不前,有限的其他人,但改进安全。