Funktionen aus dem Bereich der Künstlichen Intelligenz (KI) und speziell der Neuronalen Netzwerk (NN) Inferenz finden sich immer mehr in ressourcenbeschränkten Geräten, die komplexe Berechnungen nicht auf externe Server auslagern können. Dieses "Edge-AI"- Paradigma führt zu neuen Sicherheitsherausforderungen, da die Angreifer nun, zusätzlich zu bekannten Angriffen, einen physikalischen Zugriff auf Geräte haben und Seitenkanal- und Fehlerinjektionsangriffe durchführen können. Gleichzeitig verarbeiten solche Systeme oft sensitive Daten wie etwa Messungen mit Gesundheitsbezug. Außerdem können die NN-Modelle selbst einen substantiellen wirtschaftlichen Wert besitzen, so dass sie gegen unbefugte Extraktion geschützt werden müssen. Aus den genannten Gründen ist eine wachsende Wissenschaftler-Community entstanden, die sich mit speziellen Sicherheitsbedrohungen und Schutzmaßnahmen für die NN-Inferenzhardware befasst. Projekt SemSiNN betrachtet die Sicherheit von Mixed-Signal (MS) NN-Inferenzhardware, ein Ansatz, der gerade für Edge-AI sehr attraktiv ist, weil er zu radikalen Energieeinsparungen im Vergleich zu vollständig digitalen Realisierungen führt. Zum ersten Mal werden sich ein Experte für MS-Technologien und ein Spezialist für Schutzmaßnahmen gegen physikalische Angriffe gemeinsam mit Herausforderungen und Möglichkeiten auseinandersetzen, um MS NN- Inferenzhardware sicher zu machen. Die zu entwickeln Methodiken aus diesem Projekt werden die traditionelle Sichtweise von MSS NN-Entwurf als Abwägung zwischen Kosten und Klassifikationsgenauigkeit um eine dritte Dimension, nämlich Sicherheit, erweitern. Konkrete Arbeiten werden sich auf Seitenkanal- und Fehlerinjektionsangriffe konzentrieren. Wir werden ein Verständnis MS-spezifischer Mechanismen für Informationslecks aufbauen, relevante Angriffsszenarien erkunden und Gegenmaßnahmen gegen solche Angriffe vorschlagen und evaluieren. Sowohl nichttriviale Erweiterungen von Maßnahmen, die ursprünglich für digitale NN-Hardware (oder andere Schaltungsklassen wie z.B. kryptografische Schaltungen) entwickelt wurden, als auch neue Sicherungsmechanismen, die einzigartige Eigenschaften der MS- Technologie ausnutzen, werden auf drei Abstraktionsebenen ansetzen. Diese Arbeit wird zu einer generischen Entwurfsmethodik für sichere MS NN-Hardware führen; sie wird mit speziell optimierten Simulationsverfahren und in einem begrenzten Ausmaß durch physikalische Messungen validiert. SeMSiNN baut auf einer inhärenten Synergie innerhalb des Projekts auf und fügt sich gut in die Matrixstruktur des Schwerpunktprogramms ein. Erste Gespräche über mögliche Zusammenarbeit innerhalb des SPPs wurden bereits geführt (mit der Arbeitsgruppe von TU Berlin zum Thema optische Angriffe auf MS NN-Schaltungen. Wir sind überzeugt, dass dieses Projekt Grundlagen für eine neue Subdisziplin "Sicherheit der MS-Elektronik für KI" legen wird, welche durch derzeitigen Stand der Technik nicht abgedeckt ist.

DFG-Verfahren Schwerpunktprogramme

Teilprojekt zu SPP 2253:  Nano Security: Von Nanoelektronik zu Sicheren Systemen