人工智能系统旨在高速传输数据,而不是限制访问。这就造成了安全风险。
专家座谈:《半导体工程》杂志与华为半导体事业部首席技术专家Norman Chang就硬件安全问题和可能的解决方案进行了广泛的讨论有限元分析软件;海伦娜·汉德舒,研究员Rambus的首席安全技术专家迈克·博尔扎(Mike Borza)Synopsys对此.以下是对话节选。可以找到讨论的第一部分在这里.
(左至右)诺曼·张,海伦娜·汉德舒,迈克·博尔扎。图片来源:Paul Cohen/ESD Alliance
SE:人工智能系统,如果训练数据不像你想象的那么好怎么办?当它进入推理阶段的时候看起来会很不一样?
Borza这些模型正在定期更新,您必须确保其安全分发。为了充分利用这一点,你需要将观察不同行为的AI连接起来。然后你就可以开始追踪恶意软件在不同网站或不同地点之间的移动。但这又回到了新的训练数据中,它会更新模型。所以你就进入了这个反馈循环。这是一个非常缓慢的反馈循环,在这个循环中,人工智能依赖于你能够安全地分发信息和收集信息。然后你想要使用正在生成的模型——你必须确保它的完整性——来确保系统和网络现在按照你的预期运行。所以你就有了安全与人工智能的相互作用,人工智能购买了更多的安全。
常:在图像数据的增量训练过程中,如果你在路上开车,你稍微扰乱了图像,突然你什么都认不出来了,红灯变成了绿灯。那可能非常危险。你要怎么阻止呢?这是非常困难的。
Handschuh最近发表的一篇论文甚至走得更远,表明任何系统都可以在固定数量或对数数量的变化和修复中受到干扰。你不可能阻止某人对事物进行足够的破坏,从而显示出完全不同的东西。我们真的需要考虑一下。
SE:当我们开始为数据吞吐量构建系统时,我们的目标是以极快的速度在一个芯片上一起工作。这是否使得隔离数据处理的位置变得更加困难,是否会产生安全问题?
Borza它改变的地方安全界限在哪里,就在哪里。要验证复杂事物的行为是非常困难的,这就是为什么安全人员倾向于支持小的、孤立的和包含的事物。这与人工智能研究人员想要做的完全不一致,他们想要做的是在芯片上分配计算和内存,这样它就能模仿大脑的结构或我们在大脑中看到的一些行为。但它也产生了这样一个问题,现在你有很多数据分布在周围,所有这些数据的完整性对系统的正确行为很重要。一些网络训练算法的灵敏度非常高。数据中非常小的扰动或错误都可能产生严重错误的结果。这不是线性关系。
Handschuh人工智能的一大问题是机器学习和深度学习你如何保护这些数据并确保它不会被破坏或被盗?如何保护模型,如何防止权重被发布?这是某个人的知识产权,是宝贵的资产。那么如何保护模型本身,如何以一种安全的方式让它参与进来呢?然后,一旦你训练了一个设备,建立了网络,然后输入进来,结果就显示出来了,你如何保护计算不受输入的影响?这些都是系统需要处理的点。有很多工作要做。
常这也是一个制度问题。你可能有gpu,也可能有FPGA用于人工智能系统的核心处理器。所以安全性真的超越了单芯片封装。它必须把安全作为一个整体来考虑。
SE:但是这里的整个架构都在运动。当你下载新的更新,当这些算法开始改变,因为我们想让系统适应,这些芯片的电气和电力配置是否开始改变?你需要改变你在信号模式畸变方面所寻找的东西吗?
常那绝对是一个侧信道攻击问题。在您更新了操作系统和系统的其他部分之后,这将改变对功率噪声和功率计算的攻击概况。因此,您可能需要使用远程系统为测量运行模拟,以确保系统中新的更新和新组件的设计足以执行安全传感器。
Handschuh:电源配置文件将改变。它看起来会不一样。但是,您需要找到一种保护事物的方法,这种方法不会过多地依赖于您的软件的不同功能。基本构建块需要以一种它们自己不会泄漏的方式来编写和实现。然后,你下载的软件有望在处理器或构建块元素上运行,而不会泄漏任何东西。在这种情况下,软件应该能够安全运行,不会泄露太多信息。但这是下一步——确保处理器的安全,这样不管你运行什么软件。
SE:解决方案是将安全性作为常规设计的一部分吗?安全方面的一个大问题是,人们不想为此付费。这也有开销,特别是当你有主动的安全性时,它必须定期更新。
Borza目前有一些公司正在尝试这样做,比如Arm的PSA(平台安全架构),该公司表示,该架构使开发和集成变得容易。他们为此付出了巨大的努力,投入了大量的精力。这是一种可行的方法。我们仍然处于这样的模式,即人们会在他们的产品中建立安全性,因为他们有需要,他们愿意为一个有意义的解决方案付费。但它确实在几个层面上增加了成本。首先是获取IP的初始成本。还有开发和维护软件的成本。事实上,它消耗了芯片面积,这是开销,这也推高了芯片的成本。但我们真的到了安全不容忽视的地步,这也是大多数人多年来一直试图做的事情。
Handschuh增加安全措施不是偶然发生的。在某些情况下,它需要立法或标准化,因为如果出现问题,就会涉及到责任,所以你必须开始包括解决特定问题的特定类型的解决方案。责任是驱动它的因素。没有人会因为偏执而认为必须这么做。有人会告诉他们,‘如果你不这么做,你和你的企业就会面临风险。然后你将开始看到的不是具体的解决方案,而是你需要对芯片有某种信任的领域,无论是PSA还是通用标准还是其他什么,你必须证明你做了一些特别的事情来满足要求。
常有很多连接到网络的设备是不安全的。那么这一切将从何开始呢?
Borza你将在欧洲开始看到这种情况。美国国家标准与技术研究所(NIST)也有很好的想法。然后是消费者保护法,用来规范路由器提供商的行为。每个路由器都使用admin/admin作为用户/密码组合是不可接受的,因为人们只会将它们连接到互联网。
Handschuh欧洲的关注点更多地放在隐私方面。美国也有网络安全法案。因此,监管机构在推动说,‘我们需要做点什么。他们从来不会告诉你到底需要做什么,但还是有一定的吸引力。
SE:标准是解决这个问题的正确方法,还是这个过程太慢了?黑客行动迅速,分享信息。这需要内置于体系结构中吗?
Borza对于那些有足够的资金来解决这个问题,或者愿意花钱请专家来帮他们设计系统或芯片的人来说,这是可以接受的。
常你只是把AES块放入芯片吗?
Borza远非如此。加密是一种工具。它是一种提供某些保证的方法,主要是围绕机密性,但它也可以用于提供完整性。AES本身并不安全。加密可以用来建立安全的系统。
SE:数据最容易受到攻击的地方就是加密和解密发生的地方。有可能在那一点上确保它吗?
Handschuh这是必要的。当数据处于最易受攻击的状态时,必须在某种安全边界内、在某种可信的执行环境或安全风格中对其进行保护。在加密或解密的精确时刻,它必须放在一个没有人能接触到的地方。有一种设计方法可以确保人们有特定的访问权限和句柄来处理数据和资产,但不能直接访问或导出它。你可以像化学家一样处理它,他们从不直接接触有毒物质,但他们可以通过操纵器移动它们。所以你可以赋予某些用户对数据和资产进行操作的权利,但没有人可以直接接触它们。
常在加密过程中会出现各种现象,从安全角度来看,最严重的是通过电源噪声。您可以监视最后一次加密。如果这样做了1,000或2,000个周期,则可以使用模拟方法解密密钥。如果您在芯片中嵌入AES加密以及其他功能,则会稍微困难一些,但仍有可能检测到3,000或4,000个周期。但如果你使用芯片封装系统,并试图监测电磁辐射,那么系统中还会产生其他噪音。
SE:所以信噪比更低了?
常是的,它更小。
Borza信号处理就是解析信号噪音.
常是的,这是一种统计技术。
有关的故事
全球供应链转移中的安全权衡
破解AES密钥需要多少次模拟周期?此外,贸易战对半导体安全性和可靠性的影响。
硬件安全的新方法
等待安全设计无处不在不是一个可行的策略,因此安全专家开始利用不同的方法来识别攻击并限制损害。
半导体安全知识中心
谁应对安全漏洞负责?
我们如何处理安全威胁,当它扩展到更广泛的网络时会发生什么?
硬件供应链能否保持安全?
越来越多的威胁令人担忧,但真的有可能将恶意代码植入芯片吗?
|
|
|
|
|
|
|
|
|
留言回复