IEEE によって選択された唯一のセキュリティ テクノロジとして、Confidential Computing がなぜそれほど重要なのでしょうか?

IEEE によって選択された唯一のセキュリティ テクノロジとして、Confidential Computing がなぜそれほど重要なのでしょうか?

著者 | ラン・ヤンシャン・シャオ・レクシー

出品 | IDEA研究院

大規模AIコンピューティングにおけるデータとモデルのセキュリティ

人工知能技術 (AI) は、この時代で最も影響力のあるテクノロジーとして、私たちの生活のあらゆる側面に浸透しています。特に 2022 年末に OpenAI によってリリースされた ChatGPT は、驚くべき情報分析、統合、意思決定、対話機能を示しました。人工知能モデルの規模と機能がさらに強化されることで、AI は将来、人々が情報相談やタスクの代行など、パーソナライズされた複雑な一連のタスクを完了できるようになるでしょう。

AI テクノロジーの進化は、ビッグ データと大規模モデルのサポートと切り離すことができません。数千億のパラメータを持つ大規模モデルのトレーニングには、数兆の高品質データを消費する必要があり、市場に直面する過程で常にユーザーのフィードバックに従って調整およびアップグレードされました。ここで、AI サービス全体には、データ プロバイダー、モデル所有者、コンピューティング パワー プロバイダーという 3 つの役割が含まれます。データプロバイダーにとって、データには個人の機密データ、または長年の運用後に企業が蓄積した膨大な商業的価値を含むデータが含まれますが、モデル所有者にとって、モデルには所有者の AI アルゴリズムと深い理解が含まれます。アプリケーション業界の理解とモデルのトレーニングに費やした莫大な費用は、企業の貴重な知的財産権です。

データとモデル自体は参加者の貴重な資産とみなされているため、関係者全員がモデルのトレーニングと適用中に自身のデータのプライバシーを保護することを望んでいます。一方で、「ネットワークセキュリティ法」「データセキュリティ法」「個人情報保護法」の公布・施行に伴い、データプライバシーの保護のため、データの「使える・見えない」「制御できる・制御できる」の実現が求められています。ひとたびデータやモデルが漏洩すると、社会に重大な悪影響を及ぼし、多大な経済的損失をもたらします。

クラウド コンピューティングの発展と、モデル トレーニングのための大規模なコンピューティング能力に対する需要の高まりに伴い、モデル トレーニング作業のほとんどがクラウドに移行されました。さらに、サービスのリアルタイム性と信頼性の要件に基づいて、多数の AI モデルが IoT デバイス側 (たとえば、自動運転シナリオ) に展開されます。ほとんどの場合、クラウド コンピューティング インフラストラクチャと IoT デバイスは、データとモデルの所有者によって所有および管理されていません。信頼できない環境でデータとモデルのセキュリティとプライバシーをどのように確保するかが、大規模な機械学習とアプリケーションの課題にとって重要な問題となっています。 。

機密コンピューティングとは何ですか?

上記の課題に対処するために、一連の関連技術が徐々に学界や産業界の注目を集めてきており、機密コンピューティング技術もその 1 つです。Confidential Computing は、使用中のデータを保護するために、ハードウェアベースの信頼された実行環境 (Trusted Execution Environment、TEE) で計算を実行するテクノロジーを指します。ハードウェア ベースの信頼できる実行環境により、機密コンピューティング タスクとデータが悪意のあるプログラムによって盗まれないことが保証され、ハードウェア レベルのセキュリティにより、高い特権のオペレーティング システムや仮想マシン モニター (ハイパーバイザー) であっても、秘密をスパイしたり改ざんしたりできないことが保証されます。計算におけるデータとコード。

ARM が 2002 年に TrustZone テクノロジーを提案して以来、機密コンピューティングは 20 年以上経過してきました。2015 年にインテルが SGX を発表し、機密コンピューティング技術は急速な発展段階に入りました。2019 年 8 月、Linux Foundation と国内外のテクノロジー大手は Confidential Computing Consortium の設立を発表し、業界における Confidential Computing のさらなる発展と成長を示しました。

2022 年に、NVIDIA は機密コンピューティング モジュールを統合した新世代の GPU H100 を発売し、機密コンピューティングが将来の AI コンピューティングのインフラストラクチャの 1 つになることを示しています。2022年のIEEE技術予測では、今後数年（短期）に大きな影響を与える16の技術が選出され、セキュリティ技術として機密コンピューティング技術が唯一選ばれた。現在、ARM、インテル、AMD、ファーウェイなどのメーカーが独自の機密コンピューティング技術を投入しており、サーバー側ではインテルのSGXテクノロジーが、端末側ではARMのTrustZoneテクノロジーが主な市場シェアを占めています。

インテル SGX テクノロジーの概要

Intel の SGX テクノロジを使用すると、アプリケーションはエンクレーブと呼ばれる安全なコンテナを作成し、CPU のハードウェア拡張を通じて機密データとコードをコンテナに配置できます。Enclave では、コードとデータの機密性と完全性はハードウェアの保証のみに依存し、BIOS や OS などの特権アプリケーションは Enclave のコンテンツに直接アクセスできません。つまり、SGX技術のTCB(Trusted Computing Base)はCPUメーカーとEnclave本体のみであり、たとえ攻撃者によってサーバーのルート権限が奪われてもEnclave内の機密データを直接入手することはできない。

SGX アプリケーションの動作原理は、次の図で説明できます。アプリケーションを実装するときは、信頼できる部分と信頼できない部分を区別する必要があります。信頼できる部分は、EDL (Enclave-Definition Language) を使用してロジックを実装し、ECALL および OCALL を使用して信頼できる部分と信頼できない部分の間で対話する必要があります。下の図に示すように 1.

図 1 SGX アプリケーション モデル

ARM TrustZone テクノロジーの概要

ARM の TrustZone テクノロジは、安全な世界 (Secure World) と安全でない世界 (Normal World) を区別するハードウェア分離を提供します。TrustZone は、プロセッサー アーキテクチャ上で各物理コアをセキュア コア (Secure Core) と非セキュア コア (Non-Secure Core) に仮想化し、モニター モードを通じて 2 つの世界間の切り替えを実現します。コンピューティング コアに加えて、MMU、GIC、キャッシュなどのハードウェアはすべて、2 世界の分離操作を実行します。セキュリティの世界には、メモリの割り当てと分離、通信管理など、複数の信頼できるアプリケーション インスタンスの管理を担当する信​​頼できるカーネル (TEE カーネル) があり、これも TCB の一部です。

TrustZone TEE のアプリケーション モデルは Global Platform (GP) 仕様に準拠しており、以下の図 2 で表すことができます。アプリケーションは、リッチ実行環境で実行されるプログラムと TEE で実行される 2 つのプログラムに分割する必要があり、2 つの世界間のアプリケーション通信は、提供される TEE API を通じて実行する必要があります。

図 2 TrustZone アプリケーション モデル

Confidential Computing と他のプライバシー コンピューティング スキーム

コンフィデンシャル コンピューティングは、ハードウェア ベースのプライバシー コンピューティング テクノロジとして、他のプライバシー コンピューティング テクノロジと比較して、効率性と汎用性の点で大きな利点があります。Multi-Party Computation (Secure Multi-Party Computation、SMPC) と Federated Learning (Federated Learning、フロリダ州) を例に挙げると、SMPC は暗号化に基づいており、開示することなく、暗号化された状態で複数回の通信を通じて合意されたタスクを共同で計算します。お互いの個人情報。FLは分散機械学習に基づいて、各データパーティのローカルデータを交換することなく、ローカルデータのモデル情報のみを交換するだけで、すべてのデータサンプルに基づいてグローバルモデルを構築します。効率の観点から見ると、SMPC と FL では大量の暗号化と復号化およびネットワーク通信が含まれるため、総合的な計算パフォーマンスは平文ベースの計算の数百倍となり、高速化への適応が困難になります。 -スループット、低遅延システム シーンを計算します。機密コンピューティングでは、基盤となるハードウェアによってデータやモデルの機密性や完全性が保証され、平文コンピューティングに近いコンピューティング性能が得られます。普遍性の観点から言えば、SMPC と FL はコンピューティング タスクの特性と構造について一定の前提を持っており、任意のコンピューティング ニーズを満たすことができません。対照的に、機密コンピューティングにはそのような制約がなく、より汎用的です。

Confidential Computing の応用と課題

AI モデルのトレーニングと適用では、機密コンピューティング技術が広く使用されています。AWS、Google、Microsoft、国内の Alibaba や Tencent などのメーカーは、マルチパーティ コンピューティング、ヘルスケア、医薬品の研究開発などのシナリオで使用される独自の機密コンピューティング製品を発売しています。同時に、機密コンピューティング技術は学術研究でもホットスポットです。たとえば、モデル トレーニングの分野では、プログラマブル バス チップとセキュリティ制御に基づいた大規模な異種機密 AI モデル トレーニングを実現した学者もいます。モデルの適用に関して、一部の学者は、IoT デバイスおよび AI モデルによって収集されたデータのセキュリティとプライバシーを保護しながら、IoT デバイス上の信頼できる実行環境と、対応する管理および制御モジュールと組み合わせた信頼できる実行環境の暗号化された通信を使用しています。

しかし、現在の主流の機密コンピューティング技術は依然としていくつかの技術的課題に直面しています。主流の機密コンピューティング技術は、「フラグビット」や「アクセス制御」などの技術を通じて、信頼できるアプリケーションと信頼できないアプリケーションの論理的なハードウェア分離を実現します。しかし、主流の機密コンピューティング技術では、保護されるべき信頼できるアプリケーションと信頼できないアプリケーションは同じコンピューティング コア上で実行されます。2 種類のタスクは、ページ テーブル (ページ テーブル)、ハードウェア キャッシュ (キャッシュ)、分岐ターゲット バッファ (分岐ターゲット バッファ、BTB) などのハードウェア コンポーネントを物理的に共有します。ハードウェア コンポーネントの共有は、サイドチャネル攻撃のリスクにつながる可能性があります。研究によると、ハードウェア キャッシュなどのコンポーネントに対するサイドチャネル攻撃は、入力データやモデルの漏洩につながる可能性があることがわかっています。

研究者らは、この種のリスクに対処する一連の方法を提案しています。その方法の 1 つは、不注意 (無自覚) アクセスに基づいており、つまり、共有コンポーネントへの信頼されたアプリケーションのアクセス追跡を隠蔽するための暗号化技術とプロトコルを使用するものです。サイドチャネル攻撃のリスクを防ぐためのもう 1 つの方法は、アドレスのランダム化、ハイパースレッディングのクローズ、割り込み監視、その他のテクノロジーによるサイドチャネル攻撃の検出と回避など、信頼できるアプリケーションの構築ツールや実行ステータスをカスタマイズすることです。同時に、特定のサイドチャネル攻撃に対応して、ハードウェア メーカーも対応するパッチを適時にリリースします。さらに、機密コンピューティングの重要なアプリケーションが広く普及するにつれて、信頼できるアプリケーション用に独立したメモリやコンピューティング ユニットの設計にも取り組み始めています。独立したメモリとコンピューティング ユニットにより、信頼できるアプリケーションと信頼できないアプリケーションがハードウェア レベルで完全に分離され、根本原因によるサイド チャネル攻撃のリスクが解決されます。

プロジェクトの実装レベルでは、主流の機密コンピューティング テクノロジーが新しいプログラミング パラダイムを提供します。開発者は、アプリケーションを信頼できる部分と信頼できない部分に分割し、信頼できる部分をコンフィデンシャル コンピューティング フレームワークに表示し、信頼できる部分と外部の世界との間のやり取りを自分で管理する必要があるため、ソフトウェアの移行コストが大幅に増加します。開発者の注釈に基づいた自動パーティショニング ツールがいくつかあり、既存のアプリケーションの移行を簡素化するためにライブラリ オペレーティング システム (LibOS) を提案する人もいますが、これらのソリューションには独自の制限があります。自動パーティショニング ツール ソリューションの中には、既存の自動パーティショニング ツールがあります。分割ツールは C/C++ と Java のみをサポートし、それ以上の言語 (Python など) をサポートすることはできません。ライブラリ オペレーティング システム ソリューションの中には、プログラムを再コンパイルする必要があるソリューションもあります。これは、商用シナリオの実装にとって大きな課題です。プログラム所有者の重要な知的財産権であるコードは、展開に基づいて再コンパイルできないことが多いためです。環境、いくつかのソリューション 部分的なバイナリ互換性は達成されていますが、依然としてパフォーマンスを大幅に犠牲にする必要があります。

最後に、セキュリティの観点から言えば、現在主流の機密計算技術のPOSIXシステムコール（システムコール）は、信頼できないオペレーティングシステムによって完結されており、インターフェース層でIago攻撃に対処するために、ライブラリオペレーティングシステムは、対応する防止メカニズム。ただし、POSIX インターフェイスは多数あり複雑であるため、ライブラリ オペレーティング システムに対するインターフェイス攻撃を完全に防ぐ方法も、さらに研究する必要があるトピックです。

IDEA Institute の Confidential Computing 分野における探求

IDEA Institute は機密コンピューティングの分野でもいくつかの研究を行っており、機密コンピューティングの分野におけるサイドチャネル攻撃とエンジニアリング実装の課題に対処するために、機密コンピューティングのタスクを独立したコプロセッサ (セキュア プロセッシング ユニット) に完全にオフロードします。 、SPU)、物理レベルでのハードウェア分離により、機密コンピューティング タスクがサイド チャネル攻撃のリスクを回避します。

SPU は高速バスを介してのみホストと通信し、ハードウェア レベルのセキュリティ アクセス フェンス (Secure Enforcement Barrier) により、未承認のデータ通信が防止されます。システム レベルでは、SPU のカスタマイズされたセキュア ブート、セキュア デバイス抽象化、およびセキュア コンテナ テクノロジにより、元のコードを再コンパイルせずに実行できるようになり、POSIX システム コールは SPU によって処理されて Iago 攻撃を回避します。信頼できるアプリケーションの機密性と完全性。

要約する

AI技術が急速に発展している今日、人工知能の「油」としてのデータと、人工知能の最終製品としてのモデルには、どちらも大きな商業価値が含まれています。データやモデルの機密性の保護には、法令の要求だけでなく、データやモデルの「目に見えない利用可能」と「制御可能・測定可能」を実現するデジタル経済の発展も必要です。

コンフィデンシャル コンピューティングは効率的かつ普遍的なソリューションを提供し、人工知能、ビッグ データ、クラウド コンピューティング テクノロジーの急速な発展に伴い、セキュアなプライベート コンピューティングの主流の技術的手段となっています。将来的には、機密コンピューティング技術は、信頼性、セキュリティ、エンジニアリング実装とスケーラビリティの点で進化し続け、最終的には、安全で、普及し、高性能で、スケーラブルで、導入が容易な AI データのセキュリティの守護者となるでしょう。そしてモデルたち。

参考文献

1、エベレストグループ。Confidential Computing —— データ セキュリティの次のフロンティア [DB/OL]。https://confidentialcomputing.io/wp-content/uploads/sites/85/2021/10/Everest_Group_- Confidential_Computing - The_Next_Frontier_in_Data_Security -_2021-10-19.pdf

2、IEEE、IEEE テクノロジー予測、https://cmte.ieee.org/futuredirections/2022/01/17/2022-technology-predictions/

3、J. Zhu et al.、「異種の信頼できる実行環境を使用したラックスケールの機密コンピューティングの有効化」、2020 IEEE Symposium on Security and Privacy (SP)、サンフランシスコ、カリフォルニア州、米国、2020 年、pp. 1450-1465、doi: 10.1109/SP40000 .2020.00054。

4、L. Hanzlik 他、「MLCapsule: Guarded Offline Deployment of Machine Learning as a Service」、2021 IEEE/CVF Conference on Computer Vision and Pattern Recognition Workshops (CVPRW)、ナッシュビル、テネシー州、米国、2021 年、pp. 3295-3304、doi : 10.1109/CVPRW53098.2021.00368。

5、K. グローバーら。「Privado: Enclaves を使用した実用的で安全な DNN 推論」、https://arxiv.org/abs/1810.00602

6、ユンタオ・リウとアンクール・スリヴァスタヴァ。2020. GANRED: キャッシュ サイドチャネルを介した DNN の GAN ベースのリバース エンジニアリング。2020 ACM SIGSAC Conference on Cloud Computing Security Workshop (CCSW'20) の議事録。Association for Computing Machinery、米国ニューヨーク州ニューヨーク、41–52。https://doi.org/10.1145/3411495.3421356

7. S. Sasy、S. Gorbunov、CW Fletcher、「ZeroTrace: Oblivious Memory Primitives from Intel SGX」、Proc. 2018年ネット 配布します。システム。安全です。Symp.、バージニア州レストン: Internet Society、2018、ISBN: 1-891562-49-5。DOI:10.14722/ndss.2018.23239。

8、 J. Seo、B. Lee、S. Kim、M.-W. Shih、I. Shin、D. Han、および T. Kim、「SGX-Shield: Enabling Address Space Layout Randomization for SGX Programs」、Proc. 2017 ネット 配布します。システム。安全です。Symp.、バージニア州レストン: Internet Society、2017、ISBN: 1-891562-46-0。DOI: 10.14722/ndss.2017.23037。

9、G. チェン、W. ワン、T. チェン、S. チェン、Y. チャン、X. ワン、T.-H. Lai、D. Lin、「Racing in Hyperspace: Closing Hyper-Threading Side Channels on SGX with Contrived Data Races」、2018 IEEE Symp. 安全です。プライベート、vol. 2018 年 5 月、IEEE、2018 年、178 ～ 194 ページ、ISBN: 978-1-5386-4353-2。土井：10．1109/SP. 2018年。00024。

10、M.-W. Shih、S. Lee、T. Kim、および M. Peinado、「TSGX: Eradicating Controlled-Channel Attacks Against Enclave Programs」、2017 年 3 月、DOI: 10.14722/ndss.2017.23193。

11、オ・ヒョンヨン、アディル・アハマド、パク・ソンヒョン、イ・ビョンヨン、ペク・ユンフン。2020. TRUSTORE: Intel ハイブリッド CPU-FPGA を使用した SGX 用サイドチャネル耐性ストレージ。2020 ACM SIGSAC Conference on Computer and Communications Security (CCS '20) の議事録。Association for Computing Machinery、米国ニューヨーク州ニューヨーク、1903 ～ 1918 年。https://doi.org/10.1145/3372297.3417265

12、H. Oh、K. Nam、S. Jeon、Y. Cho、Y. Paek、「MeetGo: FPGA 上のリモート アプリケーションの信頼できる実行環境」、IEEE Access、vol. 9、pp. 51313-51324、2021、土井: 10.1109/ACCESS.2021.3069223。

13、ジョシュア・リンド、クリスチャン・プリーベ、ディヴィヤ・ムトゥクマラン、ダン・オキーフ、ピエール＝ルイ・オーブリン、フロリアン・ケルバート、トビアス・ライハー、デヴィッド・ゴルチェ、デヴィッド・アイアーズ、リュディガー・カピッツァ、クリストフ・フェッツァー、ピーター・ピエツッフ。2017. Glamdring: インテル SGX の自動アプリケーション パーティショニング。Usenix 年次技術会議 (USENIX ATC '17) に関する 2017 USENIX Conference の議事録。USENIX アソシエーション、米国、285–298。

14、チアチェ・ツァイ、ジョンソク・ソン、ブシャン・ジェイン、ジョン・マカベイ、ラルカ・アダ・ポパ、ドナルド・E・ポーター。2020. Civet: ハードウェア エンクレーブ用の効率的な Java パーティショニング フレームワーク。第 29 回 USENIX セキュリティ会議シンポジウム (SEC'20) の議事録。USENIX アソシエーション、米国、第 29 条、505 ～ 522。

15、Youren Shen、Hongliang Tian、Yu Chen、Kang Chen、Runji Wang、Yi Xu、Yubin Xia、Shomeng Yan。2020. Occlum: Intel SGX の単一エンクレーブ内の安全で効率的なマルチタスク。第 25 回プログラミング言語およびオペレーティング システムのアーキテクチャ サポートに関する国際会議 (ASPLOS '20) の議事録。Association for Computing Machinery、米国ニューヨーク州ニューヨーク、955 ～ 970。https://doi.org/10.1145/3373376.3378469

16、チアチェ・ツァイ、ドナルド・E・ポーター、モナ・ヴィジ 2017. Graphene-SGX: SGX 上の無修正アプリケーション用の実用的なライブラリ OS。Usenix 年次技術会議 (USENIX ATC '17) に関する 2017 USENIX Conference の議事録。USENIX アソシエーション、米国、645–658。

17、Shweta Shinde、Shengyi Wang、Pinghai Yuan、Aquinas Hobor、Abhik Roychoudhury、Prateek Saxena。2020. BesFS: 機械化された安全性を備えたエンクレーブ用の POSIX ファイルシステム。第 29 回 USENIX セキュリティ会議シンポジウム (SEC'20) の議事録。USENIX アソシエーション、米国、第 30 条、523 ～ 540。

免責事項: このコンテンツは Tencent プラットフォームの作成者から提供されたものであり、Tencent News または Tencent.com の見解や立場を表すものではありません。