Las aplicaciones de monitorización la salud pueden ayudar a las personas a controlar enfermedades crónicas o a seguir sus objetivos de forma física, sin usar nada más que un smartphone. Sin embargo, estas aplicaciones pueden ser lentas y poco eficientes desde el punto de vista energético, porque los enormes modelos de aprendizaje automático que las alimentan deben desplazarse entre un smartphone y un servidor de memoria central. Por lo que este pequeño chip viene a cambiar la salud para siempre.

Los investigadores han desarrollado una solución de seguridad para modelos de IA que consumen mucha energía y que ofrece protección contra dos ataques comunes.

El futuro de la información

Los ingenieros suelen acelerar las cosas utilizando hardware que reduce la necesidad de mover tantos datos de un lado a otro. Aunque estos aceleradores de aprendizaje automático pueden agilizar el cálculo, son susceptibles de que los atacantes roben información secreta.

Para reducir esta vulnerabilidad, investigadores del Laboratorio de IA del MIT crearon un acelerador de aprendizaje automático resistente a los dos tipos de ataques más comunes. Su chip puede mantener en privado sus registros electrónicos de salud. También aplica a la información financiera u otros datos sensibles de un usuario. Gracias a que permite que enormes modelos de IA se ejecuten de forma eficiente en los dispositivos.

El equipo desarrolló varias optimizaciones que permiten una fuerte seguridad al tiempo que sólo ralentizan ligeramente el dispositivo. Además, la seguridad añadida no afecta a la precisión de los cálculos. Este acelerador de aprendizaje automático podría ser especialmente beneficioso para aplicaciones de IA exigentes, como la realidad aumentada y virtual o la conducción autónoma.

Aunque su implantación encarecería ligeramente el dispositivo y lo haría menos eficiente desde el punto de vista energético. Complicando el uso de este chip en sistemas de salud, a veces merece la pena pagar ese precio por la seguridad.

Los investigadores se centraron en un tipo de acelerador de aprendizaje automático llamado computación digital en memoria. Un chip IMC digital realiza cálculos dentro de la memoria de un dispositivo, donde se almacenan las piezas de un modelo de aprendizaje automático tras ser trasladadas desde un servidor central.

El modelo completo es demasiado grande para almacenarlo en el dispositivo. Así que al dividirlo en trozos y reutilizarlos en la medida de lo posible, los chips IMC reducen la cantidad de datos que deben trasladarse de un lado a otro.

El chip “inhackeable” para proteger tus datos de salud

Pero los chips IMC pueden ser susceptibles a los piratas informáticos. En un ataque de canal lateral, un pirata informático controla el consumo de energía del chip y utiliza técnicas estadísticas para aplicar ingeniería inversa a los datos mientras el chip computa. En un ataque de sondeo de bus, el pirata informático puede robar bits del modelo y del conjunto de datos sondeando la comunicación entre el acelerador y la memoria externa del chip.

La IMC digital acelera el cálculo realizando millones de operaciones a la vez. El problema es que esta complejidad dificulta la prevención de ataques mediante las medidas de seguridad tradicionales. Por lo que decidieron adoptaron un triple enfoque para bloquear los ataques de canal lateral.

En primer lugar, emplearon una medida de seguridad en la que los datos de la IMC se dividen en trozos aleatorios. Por ejemplo, un bit cero puede dividirse en tres bits que sigan siendo igual a cero después de una operación lógica. La IMC nunca computa con todos los trozos en la misma operación, por lo que un ataque de canal lateral nunca podría reconstruir la información real.

Pero para que esta técnica funcione, hay que añadir bits aleatorios para dividir los datos. Como la IMC digital realiza millones de operaciones a la vez, generar tantos bits aleatorios implicaría demasiado cálculo. Para su chip, los investigadores encontraron una forma de simplificar los cálculos, facilitando la división efectiva de los datos y eliminando la necesidad de bits aleatorios.

En segundo lugar, impidieron los ataques de “bus-probing” utilizando un cifrado ligero que encripta el modelo almacenado en la memoria externa del chip en registros electrónicos de salud. Este cifrado ligero sólo requiere cálculos sencillos. Además, sólo descifraron los fragmentos del modelo almacenados en el chip cuando fue necesario.

Pruebas de seguridad

En tercer lugar, para mejorar la seguridad, generaron la clave que descifra el cifrado directamente en el chip, en lugar de moverla de un lado a otro con el modelo. Generaron esta clave única a partir de variaciones aleatorias en el chip que se introducen durante la fabricación, utilizando lo que se conoce como una función físicamente no clonable.

Reutilizaron las células de memoria del chip, aprovechando las imperfecciones de estas células para generar la clave. Esto requiere menos cálculo que generar una clave desde cero.

Para probar su chip, los investigadores se pusieron en la piel de piratas informáticos e intentaron robar información secreta mediante ataques de canal lateral y bus-probing.

Incluso después de realizar millones de intentos, no pudieron reconstruir ninguna información real ni extraer fragmentos del modelo o del conjunto de datos. Además, el cifrado seguía siendo indescifrable. En cambio, sólo hicieron falta unas 5.000 muestras para robar información de un chip desprotegido.

La adición de seguridad sí redujo la eficiencia energética del acelerador, y también requirió una mayor superficie de chip, lo que encarecería su fabricación.

El equipo tiene previsto explorar métodos que puedan reducir el consumo de energía y el tamaño de su chip en el futuro, lo que facilitaría su aplicación a escala.