专家在桌子上:安全如何影响电源和性能,为什么人工智能系统如此困难的安全,以及为什么隐私是一个越来越多的考虑。
半导体工程与Ansys副总裁兼首席战略官Vic Kulkarni坐下来讨论芯片架构和人工智能系统的安全性的成本和有效性;Jason Oberg, CTO, Tortuga Logic联合创始人;帕梅拉·诺顿,Borsetta首席执行官和创始人;英特尔安全架构研究员及技术主管Ron Perez;以及Arm公司战略副总裁蒂姆·惠特菲尔德。以下是在虚拟硬件安全峰会上现场直播的对话节选。讨论的第一部分在这里。
SE:纵观不同的市场,没有人对什么是“足够好”的安全性下定义。。它会因应用程序或层而不同吗?你会分配更多的资源给某些系统吗?特别是当它们都连接在一起的时候?
佩雷斯:“足够好”有时是由政府监管机构来定义的,但最常见的是由客户和用户愿意为什么付费和接受什么。但是您的问题深入到了计算堆栈中的组件级别。在过去,对于硬件领域的许多人来说,在什么是可接受的问题上划清界限是很容易的。正如我们在过去几年从旁路渠道了解到的那样,这些界限已经不存在了。作为一个行业,我们正在努力定义新的界限,而这些界限不再是我们设定的。除了政府空间之外,我们已经说过,边通道不在我们的范围内。现在他们不是。考虑到各种各样的渠道,其中许多我们还不知道,这是一个挑战,知道我们的界限在哪里。
Oberg:它提出了风险管理、安全的业务含义,以及如何从技术角度和风险概况方面知道自己做得是否足够。在某种程度上,您要确保您已经实现了所需的安全特性和缓解措施,从而使您的产品不容易受到特定类型的攻击。在更高的层面上,基于你所服务的市场,你会问你的风险概况是什么?这是度量的一种业务类型。如果你看看更广泛的网络安全领域,这绝对是一种思维方式。CISOs和CSOs会查看他们的IT基础设施和系统,然后问,‘侵入我的系统的风险是什么?这就是他们为自己的支出辩解的方式。半导体行业也可以采用同样的思维方式,他们会说,‘这些是我为自己的产品打造的功能。根据我所服务的市场,我试图预防这些事情。然后,他们可以把这些分析归纳为更广泛的风险管理类型的分析。即使你花了无限量的钱,你也不可能完全达到目标。但根据你所服务的市场,总会有一个最佳的选择。如果你改变了风险管理或降低风险的思维方式,这将对该行业大有裨益。
是关于威胁建模的。它在逐个应用程序的基础上查看攻击表面,并进行正确的威胁建模。你需要一个整体的安全方法。不仅仅是芯片和设备。它通过物理层和软件一直到外部。是的,它依赖于应用,因为它必须如此。但这也是关于第一个阶段,观察威胁模型,决定你需要保护什么来抵御什么攻击,以及你需要什么对策。
SE:这不仅仅是花费,以美元计算,对吧?它还涉及性能和电源开销。如果你添加了所有你想要的安全措施,你的芯片可能会变慢和耗电。
佩雷斯:基于我之前所说的,我还想提出另一个挑战。这不仅仅是监管环境或者你的客户或者公民社会组织今天的要求。考虑到产品开发所需的时间很长,我们今天要决定什么是可以接受的,从现在起4年、5年、6年,因为我们的产品在那之后还会在市场上再待10年——或者更长时间。这是一个水晶球式的区域。
惠特菲尔德:我同意PPA的做法。这是成为ppa。这也是安全问题。多年来,我们一直在性能、功率和区域之间进行权衡。我们现在正在增加安全措施。我们和其他人一起参与的DARPA AISS项目,正在研究如何创造正确的工具和正确的框架来实现这些权衡。这是非常重要的。
Oberg:如果你一开始就考虑这些权衡的话,就会容易得多。人们往往会关注产品上市的时间、产品的发布、小型化、快速化、低耗能。还有人说,‘我们需要针对这个市场的安全功能,因为我们想拥有一些花哨的营销品牌。这将有助于我们的竞争定位。但如果你在一开始就做这些权衡,你就能以一种非常合理的方式实现安全,成本也不会那么大。如果你想将它添加在最后,你只买一个大的IP块,把它,或将其发送了一个实验室,将会有更多的有效的成本系统,从货币和权力/性能的角度来看。
Kulkarni:这让我想起一群工程师在设计一座桥。它们遵循了所有的施工规则,包括应力和应变分析等等,而大桥仍然会倒塌。最近幽灵攻击的解决方式令人钦佩,因为没有人可以替换所有的硬件,但还有其他没有人预料到的故障机制,就像桥一样。通过Spectre,焦点迅速转移到操作系统和应用程序层,社区看到了这个问题并非常有效地解决了它。但就什么是足够好而言,没有这样的东西。黑客比我们更聪明。
惠特菲尔德:是的,《幽灵党》的反响非常好,但是在性能方面还是有成本的,而且修复这些补丁也有财务成本。而且,在10年或15年前,没有人预料到这会成为一个问题。如果你一开始就知道,你就可以做一个落地设计,这样就不会产生太大的影响。
佩雷斯:你可以解释为什么像Spectre这样的投机性执行渠道还不为人所知。但在70年代和80年代,也就是早期的竞争时期,旁路频道就已经为人所知,作为一个行业,我们选择不在商业产品中提及这些。
诺顿:我们嵌入的东西之一是一个量子证明随机数生成器。原因是,展望五年之后,我们知道我们目前所有的双因素认证都将被这些新的量子计算机入侵。它真正关注的是我们可以预先设计或拥有哪些元素,知道我们当前的身份验证过程将面临风险。黄金时期已经过去了。我们知道这一点,而且从20世纪70年代就开始了。
奥伯格:这是一个非常好的观点。在软件领域中,补救要容易得多。基本上,关于安全的关键事情之一是你永远不会事先把它弄清楚的整个概念。你想要有一个反应的过程和方式。但是要想更新硬件是很困难的。通过更新某些固件可以做到这一点。显然,FPGAs在这方面有独特的机会。从安全的角度来看,您可以从这些类型的部署中获得很多好处。但这必须成为战略的一部分。在某些情况下,这真的很有挑战性——尤其是在危机/幽灵这类问题上。这些东西是不能更新的。你可以减轻它的某些方面,但很难更新。这是硬件的可怕之处之一,这进一步强调了在早期进行更多投资的重要性,因为你无法通过更新来处理很多这样的问题。
佩雷斯:如果能够使其可更新或更具可配置性,那么也可能会引入新的攻击载体。
SE:随着我们开始在几乎所有地方加入智力,这变得越来越困难。人工智能和机器学习背后的整个理念是,这些系统将自动自我优化。但是当他们这样做的时候,一个可能会和另一个不一样。那么我们如何保证这些系统的安全呢?每个设备都不一样吗?
诺顿:当我们得到这些神经网络进行处理时,你就得到了这些训练网络,它们将进行实时的学习和训练。所以这对我来说是个性化的——无论它对我的生活产生了什么影响。然后Siri和谷歌Home会收听我的对话,知道我所有的信息。这就变成了一个隐私问题关于谁是管理我家机器人的芯片的可信任的监护人。它了解我的生活和孩子的一切。谁是那些管理数据、更新数据并确保我的个人身份被解除识别的可信任的托管人?他们仍然在咀嚼和咀嚼数据,得到他们需要的东西。我们正在引入越来越多的个人身份安全,但所有第三方数据提供商仍然希望访问这些数据。
佩雷斯:帕梅拉对隐私的看法是正确的,我们在谈论安全时有时会忘记隐私。但现在,这绝对应该成为我们的首要考虑,特别是在我们工作的很多消费产品中,这些产品对我们的生活产生了影响。但总的来说,这就是为什么可解释性,以及关于人工智能可解释性的研究如此重要的原因之一。在大多数情况下,我们凭直觉和实验知道这些技术是可行的。但如果我们不知道原因,那就相当可怕了。我们无法解释为什么结果会是这样,也无法解释这些方案有多容易受到数据毒害。这强调了数据完整性和机密性的重要性。
Kulkarni:我们如何在不同的工作负载、不同的条件下创建大量的训练数据集?如果你想到无人机或战斗机,甚至坦克或士兵,所有的数据都在向我们袭来。但我们如何获得这些训练数据集,以建立一个行业范围的理解推断人工智能,以及查看这些因果关系,以避免此类攻击,并尽可能地预防?
SE:更糟糕的是,这些系统是黑盒子。在它们进化和适应的过程中,说出它们为什么会发生变化或者到底是什么发生了变化有多重要?我们对此有什么见解吗?
Norton:这就是为什么在硬件层面上查看正在处理的数据是很重要的。我们在一个可信的执行环境中加密它。你正在哈希数据,所以你有一个事务发生了什么。你有能力利用这些账本-你可以有成千上万的账本嵌入-去提供谁可以使用这些账本。然后你再加上同态计算,它允许你在计算数据的同时保持它的私密性。你de-identifying。你有能力评估芯片,说,‘好的,这个芯片不仅加密,而且这个芯片处理数据使用同态加密,这确保没有个人标识符。我相信,这就是市场的发展方向。我们在同态计算方面有了更好的性能,并且有了一些非常重要的进展,这是令人兴奋的,因为这个概念已经存在了大约40年。这只是高计算和高成本的问题。所以当我们再次考虑降低成本时,这是一种能够说这是一个可信的人工智能推断芯片的方法吗?我们可以确保任何人的个人信息都不会被泄露,无论他们是被追踪的联系人,还是在机场,不管是什么。在这种可信、执行的环境中,数据是加密的,所以只有联邦调查局或任何需要访问的人可以看到那个人的脸或身份来运行数据,如果他们得到许可的话。我鼓励我们看到的一些措施,我们在这里推出下个月在私人AI和隐私问题,特别在同态的计算,以及我们如何鼓励和创造更多的机会在这个行业,以确保我们的隐私和数据安全。
澄清一下,同态计算意味着你实际上没有解密任何东西。所有的计算都是加密的,对吧?
诺顿:是的,而且正在改善。我们每秒处理300,000次事务。
佩雷斯:自从2009年计算机科学家克雷格·金特里(Craig Gentry)的突破以来,情况正在迅速好转。DARPA现在有了一些相当大胆的目标。
原文:https://semiengineering.com/security-tradeoffs-in-chips-and-ai-systems/
本文:http://jiagoushi.pro/node/1289
讨论:请加入知识星球【数据和计算以及智能】或者小号【it_strategy】或者QQ群【1033354921】