Acelerando tarefas de IA enquanto preserva a segurança dos dados

Com a proliferação de aplicações de aprendizagem automática computacionalmente intensivas, como chatbots que realizam tradução de idiomas em tempo real, os fabricantes de dispositivos incorporam frequentemente componentes de hardware especializados para mover e processar rapidamente as enormes quantidades de dados que estes sistemas exigem.

Escolher o melhor design para esses componentes, conhecidos como aceleradores de redes neurais profundas, é um desafio porque eles podem ter uma enorme variedade de opções de design. Este difícil problema torna-se ainda mais espinhoso quando um designer procura adicionar operações criptográficas para manter os dados protegidos contra invasores.

Agora, os pesquisadores do MIT desenvolveram um mecanismo de busca que pode identificar com eficiência projetos ideais para aceleradores de redes neurais profundas, que preservam a segurança dos dados e, ao mesmo tempo, aumentam o desempenho.

Sua ferramenta de busca, conhecida como SecureLoop, foi projetado para considerar como a adição de medidas de criptografia e autenticação de dados afetará o desempenho e o uso de energia do chip acelerador. Um engenheiro poderia usar esta ferramenta para obter o projeto ideal de um acelerador adaptado à sua rede neural e tarefa de aprendizado de máquina.

Quando comparado às técnicas de agendamento convencionais que não consideram a segurança, o SecureLoop pode melhorar o desempenho dos projetos de aceleradores, mantendo os dados protegidos.

O uso do SecureLoop pode ajudar o usuário a melhorar a velocidade e o desempenho de aplicações exigentes de IA, como direção autônoma ou classificação de imagens médicas, ao mesmo tempo que garante que dados confidenciais do usuário permaneçam protegidos contra alguns tipos de ataques.

“Se você estiver interessado em fazer um cálculo onde irá preservar a segurança dos dados, as regras que usávamos antes para encontrar o design ideal agora estão quebradas. Portanto, toda essa otimização precisa ser personalizada para este novo e mais conjunto complicado de restrições. E é isso que [lead author] Kyungmi fez neste artigo”, diz Joel Emer, professor do MIT de prática em ciência da computação e engenharia elétrica e coautor de um artigo sobre SecureLoop.

Emer é acompanhado no artigo pelo autor principal Kyungmi Lee, estudante de graduação em engenharia elétrica e ciência da computação; Mengjia Yan, Professor Assistente de Desenvolvimento de Carreira Homer A. Burnell de Engenharia Elétrica e Ciência da Computação e membro do Laboratório de Ciência da Computação e Inteligência Artificial (CSAIL); e a autora sênior Anantha Chandrakasan, reitora da Escola de Engenharia do MIT e professora Vannevar Bush de Engenharia Elétrica e Ciência da Computação. A pesquisa será apresentada no Simpósio Internacional IEEE/ACM sobre Microarquitetura realizada de 28 de outubro a novembro. 1.

“A comunidade aceitou passivamente que adicionar operações criptográficas a um acelerador introduziria sobrecarga. Eles pensaram que isso introduziria apenas uma pequena variação no espaço de compensação do design. Mas, isso é um equívoco. Na verdade, as operações criptográficas podem distorcer significativamente o design espaço de aceleradores com eficiência energética. Kyungmi fez um trabalho fantástico identificando esse problema”, acrescenta Yan.

Aceleração segura

Uma rede neural profunda consiste em muitas camadas de nós interconectados que processam dados. Normalmente, a saída de uma camada torna-se a entrada da próxima camada. Os dados são agrupados em unidades chamadas blocos para processamento e transferência entre a memória fora do chip e o acelerador. Cada camada da rede neural pode ter sua própria configuração de blocos de dados.

Um acelerador de rede neural profunda é um processador com uma matriz de unidades computacionais que paraleliza operações, como multiplicação, em cada camada da rede. A programação do acelerador descreve como os dados são movidos e processados.

Como o espaço em um chip acelerador é escasso, a maioria dos dados é armazenada na memória fora do chip e buscada pelo acelerador quando necessário. Mas como os dados são armazenados fora do chip, eles ficam vulneráveis ​​a um invasor que possa roubar informações ou alterar alguns valores, causando mau funcionamento da rede neural.

“Como fabricante de chips, você não pode garantir a segurança de dispositivos externos ou do sistema operacional geral”, explica Lee.

Os fabricantes podem proteger os dados adicionando criptografia autenticada ao acelerador. A criptografia embaralha os dados usando uma chave secreta. Em seguida, a autenticação corta os dados em partes uniformes e atribui um hash criptográfico a cada parte de dados, que é armazenado junto com a parte de dados na memória fora do chip.

Quando o acelerador busca um pedaço de dados criptografado, conhecido como bloco de autenticação, ele usa uma chave secreta para recuperar e verificar os dados originais antes de processá-los.

Mas os tamanhos dos blocos de autenticação e dos blocos de dados não correspondem, então pode haver vários blocos em um bloco ou um bloco pode ser dividido entre dois blocos. O acelerador não pode capturar arbitrariamente uma fração de um bloco de autenticação, por isso pode acabar capturando dados extras, o que consome energia adicional e retarda a computação.

Além disso, o acelerador ainda deve executar a operação criptográfica em cada bloco de autenticação, acrescentando ainda mais custos computacionais.

Um mecanismo de pesquisa eficiente

Com o SecureLoop, os pesquisadores do MIT buscaram um método que pudesse identificar o cronograma do acelerador mais rápido e com maior eficiência energética – um que minimizasse o número de vezes que o dispositivo precisa acessar a memória fora do chip para capturar blocos extras de dados devido à criptografia e autenticação.

Eles começaram aumentando um mecanismo de busca existente que Emer e seus colaboradores desenvolveram anteriormente, chamado Timeloop. Primeiro, eles adicionaram um modelo que poderia contabilizar a computação adicional necessária para criptografia e autenticação.

Em seguida, eles reformularam o problema de pesquisa em uma expressão matemática simples, que permite ao SecureLoop encontrar o tamanho ideal do bloco autêntico de uma maneira muito mais eficiente do que pesquisar todas as opções possíveis.

“Dependendo de como você atribui esse bloco, a quantidade de tráfego desnecessário pode aumentar ou diminuir. Se você atribuir o bloco criptográfico de maneira inteligente, poderá apenas buscar uma pequena quantidade de dados adicionais”, diz Lee.

Por fim, eles incorporaram uma técnica heurística que garante que o SecureLoop identifique um cronograma que maximiza o desempenho de toda a rede neural profunda, em vez de apenas uma única camada.

No final, o mecanismo de busca gera uma programação do acelerador, que inclui a estratégia de agrupamento de dados e o tamanho dos blocos de autenticação, que fornece a melhor velocidade e eficiência energética possíveis para uma rede neural específica.

“Os espaços de design para esses aceleradores são enormes. O que Kyungmi fez foi descobrir algumas maneiras muito pragmáticas de tornar essa busca tratável para que ela pudesse encontrar boas soluções sem precisar pesquisar exaustivamente o espaço”, diz Emer.

Quando testado em um simulador, o SecureLoop identificou cronogramas que eram até 33,2% mais rápidos e exibiam um produto de atraso de energia 50,2% melhor (uma métrica relacionada à eficiência energética) do que outros métodos que não consideravam a segurança.

Os pesquisadores também usaram o SecureLoop para explorar como o espaço de design dos aceleradores muda quando a segurança é considerada. Eles aprenderam que alocar um pouco mais de área do chip para o mecanismo criptográfico e sacrificar algum espaço para a memória no chip pode levar a um melhor desempenho, diz Lee.

No futuro, os pesquisadores querem usar o SecureLoop para encontrar designs de aceleradores que sejam resilientes a ataques de canal lateral, que ocorrem quando um invasor tem acesso a hardware físico. Por exemplo, um invasor pode monitorar o padrão de consumo de energia de um dispositivo para obter informações secretas, mesmo que os dados tenham sido criptografados. Eles também estão estendendo o SecureLoop para que possa ser aplicado a outros tipos de computação.

Esta história foi republicada como cortesia do MIT News (web.mit.edu/newsoffice/), um site popular que cobre notícias sobre pesquisa, inovação e ensino do MIT.