Apple Private Cloud Compute - ขอบเขตใหม่ของความเป็นส่วนตัวสำหรับ AI บนคลาวด์

 (security.apple.com)
1 คะแนน โดย GN⁺ 2024-06-11 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Private Cloud Compute (PCC) คือระบบประมวลผล AI บนคลาวด์ที่ Apple พัฒนาขึ้น โดยออกแบบให้ข้อมูลส่วนบุคคลถูกประมวลผลในสภาวะที่ แม้แต่ Apple ก็ไม่สามารถเข้าถึงได้ ภายใต้ สถาปัตยกรรมที่ยึดความเป็นส่วนตัวเป็นศูนย์กลาง
  • สร้างบนพื้นฐานของ Apple Silicon และ ระบบปฏิบัติการที่เสริมความปลอดภัย พร้อมโครงสร้างการประมวลผลแบบ ไร้สถานะ (stateless) ที่ลบข้อมูลผู้ใช้ ทันทีหลังประมวลผลคำขอเสร็จ และไม่เก็บไว้แม้แต่ในล็อกหรือข้อมูลดีบัก
  • ตัด remote shell, เครื่องมือดีบัก, และระบบล็อกทั่วไป ออก เพื่อ ปิดกั้นการเข้าถึงของผู้ดูแลระบบระหว่างการทำงานโดยสิ้นเชิง และอนุญาตให้รันได้เฉพาะโค้ดที่ได้รับการอนุมัติล่วงหน้าเท่านั้น
  • มี ความไม่สามารถเล็งเป้าโจมตีผู้ใช้รายบุคคล (non-targetability) ผ่าน การตรวจสอบซัพพลายเชนฮาร์ดแวร์, OHTTP relay, และการยืนยันตัวตนบนพื้นฐานของ RSA Blind Signature เพื่อป้องกันการโจมตีที่มุ่งเป้าไปยังผู้ใช้เฉพาะราย
  • เปิดเผยซอฟต์แวร์อิมเมจและค่าการวัดทั้งหมดของ PCC พร้อมให้ transparency log และสภาพแวดล้อมวิจัยเสมือน สำหรับนักวิจัยตรวจสอบ เพื่อรับประกัน ความโปร่งใสที่ตรวจสอบได้ (verifiable transparency)

ภาพรวมของ Private Cloud Compute

  • PCC เป็นระบบ AI บนคลาวด์ที่ออกแบบมาเพื่อรองรับความสามารถขั้นสูงของ Apple Intelligence และทำให้ การประมวลผล AI ขนาดใหญ่โดยตั้งอยู่บนการคุ้มครองข้อมูลส่วนบุคคลเป็นหลัก เป็นไปได้
  • นี่คือความพยายามครั้งแรกในการ ขยายโมเดลความปลอดภัยและความเป็นส่วนตัวระดับอุปกรณ์ของ Apple ไปสู่คลาวด์ และแม้แต่ Apple เองก็ไม่สามารถเข้าถึงข้อมูลผู้ใช้ได้
  • ประกอบด้วย ฮาร์ดแวร์เซิร์ฟเวอร์บนพื้นฐาน Apple Silicon และ ระบบปฏิบัติการที่นำเทคโนโลยีความปลอดภัยของ iOS และ macOS มาปรับโครงสร้างใหม่ โดยใช้ Code Signing, sandboxing, และ Secure Enclave

ข้อจำกัดของคลาวด์ AI แบบเดิม

  • คลาวด์ AI ทั่วไปจำเป็นต้อง เข้าถึงข้อมูลผู้ใช้ที่ไม่ได้เข้ารหัส จึง ไม่สามารถทำ end-to-end encryption ได้
  • ยังมีปัญหาอย่าง ความยากในการตรวจสอบด้านความปลอดภัยและความเป็นส่วนตัว, การเข้าถึงแบบสิทธิพิเศษของผู้ดูแลระบบระหว่างการปฏิบัติงาน, และ การขาดความโปร่งใสของซอฟต์แวร์
  • เพื่อก้าวข้ามข้อจำกัดเหล่านี้ PCC จึงยึด หลักประกันความปลอดภัยที่บังคับใช้ได้ในเชิงเทคนิค (enforceable guarantees) เป็นหลักการออกแบบสำคัญ

ข้อกำหนดการออกแบบหลัก

  • การประมวลผลข้อมูลแบบไร้สถานะ: ข้อมูลผู้ใช้จะถูกลบทันทีหลังจากประมวลผลคำขอ และไม่หลงเหลืออยู่ในล็อกหรือข้อมูลดีบัก
  • การบังคับใช้ได้ทางเทคนิค: ต้องสามารถตรวจสอบหลักประกันด้านความปลอดภัยได้อย่างสมบูรณ์ภายในระบบเอง โดยไม่พึ่งพาองค์ประกอบภายนอก
  • ห้ามการเข้าถึงแบบสิทธิพิเศษระหว่างการทำงาน: ผู้ดูแลระบบหรือวิศวกรไม่สามารถเข้าถึงข้อมูลผู้ใช้ได้ แม้ในกรณีที่ระบบขัดข้อง
  • ความไม่สามารถเล็งเป้าโจมตีผู้ใช้รายบุคคล (non-targetability): ออกแบบให้ไม่สามารถโจมตีโดยมุ่งเป้าไปยังผู้ใช้เฉพาะรายได้
  • ความโปร่งใสที่ตรวจสอบได้: นักวิจัยต้องสามารถ ตรวจสอบและเปรียบเทียบซอฟต์แวร์ที่ใช้งานจริงกับอิมเมจที่เปิดเผยสู่สาธารณะ ได้

โครงสร้างของโหนด PCC

  • ฮาร์ดแวร์เซิร์ฟเวอร์แบบปรับแต่งพิเศษบนพื้นฐาน Apple Silicon เป็นรากฐานของความเชื่อถือได้ และรวมเทคโนโลยี Secure Boot และ Secure Enclave แบบเดียวกับใน iPhone
  • ระบบปฏิบัติการเป็นเวอร์ชันที่ย่อและเสริมความแข็งแกร่งจากแกนหลักของ iOS และ macOS โดยปรับให้เหมาะกับ เวิร์กโหลดสำหรับการอนุมานของ LLM
  • ใช้สแตกแมชชีนเลิร์นนิงบนพื้นฐาน Swift on Server เพื่อรัน Apple Foundation Model บนคลาวด์

การประมวลผลแบบไร้สถานะและหลักประกันความปลอดภัย

  • อุปกรณ์ของผู้ใช้จะ เข้ารหัสคำขอด้วยกุญแจสาธารณะของโหนด PCC ก่อนส่ง ทำให้องค์ประกอบระหว่างทางไม่สามารถถอดรหัสได้
  • Secure Boot และ Code Signing ทำให้รันได้เฉพาะโค้ดที่ได้รับอนุมัติ และ ป้องกันการแทรก JIT code
  • Secure Enclave ปกป้องกุญแจถอดรหัส และใช้ การสุ่มกุญแจเข้ารหัสใหม่เมื่อรีบูต เพื่อป้องกันข้อมูลตกค้าง
  • ลดพื้นผิวการโจมตีด้วย Pointer Authentication Codes, sandboxing, และ การรับประกันความปลอดภัยของหน่วยความจำ

การปิดกั้นการเข้าถึงแบบสิทธิพิเศษ

  • ตัด remote shell, เครื่องมือดีบัก, และ developer mode ออกทั้งหมด
  • ไม่มีระบบล็อกทั่วไป และอนุญาตให้ส่งออกได้เฉพาะ structured audit log ที่กำหนดไว้ล่วงหน้า
  • ด้วยการออกแบบนี้ จึงสร้างโครงสร้างที่ ทำให้ข้อมูลผู้ใช้รั่วไหลไม่ได้แม้ระหว่างการปฏิบัติงาน

ความไม่สามารถเล็งเป้าโจมตีผู้ใช้รายบุคคล (Non-targetability)

  • ใช้ การตรวจสอบซัพพลายเชนฮาร์ดแวร์ และ การกระจายคำขอ (target diffusion) เพื่อไม่ให้ผู้โจมตีสามารถมุ่งเป้าไปยังผู้ใช้เฉพาะรายได้
    • ในขั้นตอนการผลิตมีการ ตรวจสอบภาพความละเอียดสูงและการปิดผนึก รวมถึง การตรวจสอบโดยผู้เฝ้าระวังจากบุคคลที่สาม
    • เมทาดาทาของคำขอ ไม่รวมข้อมูลระบุตัวบุคคล และใช้ RSA Blind Signature สำหรับการยืนยันตัวตน
    • ใช้ OHTTP relay เพื่อทำให้ที่อยู่ IP ไม่สามารถระบุตัวตนได้
  • load balancer ถูกออกแบบไม่ให้รู้ข้อมูลผู้ใช้ เพื่อป้องกันการกำหนดเส้นทางแบบเอนเอียงไปยังโหนดใดโหนดหนึ่ง

ความโปร่งใสที่ตรวจสอบได้ (Verifiable Transparency)

  • เปิดเผยซอฟต์แวร์อิมเมจและค่าการวัดของทุกบิลด์ที่ใช้งานจริงของ PCC
  • ทุกคนสามารถตรวจสอบค่าการวัดโค้ดที่บันทึกไว้ใน transparency log ได้
  • มี เครื่องมือสำหรับนักวิจัยและสภาพแวดล้อมวิจัยเสมือน (PCC Virtual Research Environment) ให้ใช้งาน
  • เปิดเผยซอร์สโค้ดส่วนสำคัญด้านความปลอดภัยบางส่วน และ ให้ bootloader ของ sepOS และ iBoot ในรูปแบบ plaintext
  • มอบรางวัลสำหรับการรายงานช่องโหว่ผ่านโปรแกรม Apple Security Bounty

แผนในอนาคต

  • PCC ถูกนำเสนอในฐานะ มาตรฐานใหม่ของสถาปัตยกรรมความปลอดภัยสำหรับคลาวด์ AI
  • หลังการเปิดตัว เวอร์ชันเบต้า มีแผนจะเผยแพร่ การวิเคราะห์เชิงลึกทางเทคนิค และ ขยายการมีส่วนร่วมของนักวิจัยด้านความปลอดภัย
  • Apple ตั้งเป้าสร้าง โครงสร้างพื้นฐาน AI ที่ยึดความเป็นส่วนตัวของผู้ใช้เป็นศูนย์กลาง ผ่าน PCC

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-06-11
ความเห็นจาก Hacker News

  • ความเห็นของนักวิทยาการเข้ารหัสลับ Matt Green: ความเห็นของ Matt Green น่าสนใจและควรค่าแก่การอ้างอิง มี ลิงก์ทวีต

  • ปัญหาการเข้าถึงทวีต: สงสัยว่า Matt ตระหนักหรือไม่ว่าหากไม่มีบัญชี X ก็ไม่สามารถอ่านทวีตได้ มีข้อเสนอให้ใช้ BlueSky หรือ Masto

  • ปัญหาความน่าเชื่อถือของ Apple: Apple สามารถสร้าง backdoor ได้ทุกเมื่อผ่านการอัปเดต และรัฐบาลก็อาจบังคับให้ทำได้ จึงเกิดปัญหาเรื่องความน่าเชื่อถือ หากขาดความโปร่งใส ข้อความเรื่องความไว้วางใจก็จะเสียหาย

  • ปัญหาความเป็นส่วนตัวในสหรัฐฯ: ในสหรัฐฯ รัฐบาลสามารถบังคับให้ Apple เปิดเผยข้อมูลได้ และอาจสั่งห้ามไม่ให้เปิดเผยว่าถูกบังคับด้วย นี่เป็นข้อจำกัดที่ Apple แก้ไม่ได้

  • การปรับปรุงสำหรับนักวิจัย: เป็นครั้งแรกบนแพลตฟอร์ม Apple ที่มีการให้เฟิร์มแวร์ sepOS และบูตโหลดเดอร์ iBoot ในรูปแบบ plaintext ทำให้นักวิจัยศึกษาคอมโพเนนต์สำคัญได้ง่ายขึ้น

  • ช่องว่าง 90 วัน: อาจมีช่วงห่างสูงสุด 90 วันระหว่างซอฟต์แวร์ที่มีช่องโหว่ถูกเผยแพร่กับเวลาที่ถูกค้นพบ หวังว่าจะมีการเปิดให้ใช้งานอิมเมจจริงโดยเร็วที่สุด

  • มีไว้เพื่อใคร: สงสัยว่าฟีเจอร์นี้มีไว้เพื่อใคร โดยส่วนตัวอยากปิดฟังก์ชัน "calls home" และไม่อยากบอกว่า Apple เป็นตัวเลือกที่ปลอดภัยที่สุด

  • การใช้ Swift บนเซิร์ฟเวอร์: น่าสนใจที่มีการใช้ Swift บนเซิร์ฟเวอร์เพื่อสร้างสแตกแมชชีนเลิร์นนิงใหม่ มี เอกสาร Swift server

  • หลักประกันความปลอดภัยที่ตรวจสอบได้: มองโลกในแง่ดีอย่างระมัดระวังว่า Apple อาจให้หลักประกันด้านความปลอดภัยที่ตรวจสอบได้ หาก Cloud OS เปิดซอร์สก็จะมีคุณค่ามาก

  • ความเป็นไปได้ในการเลี่ยงข้อป้องกัน: หาก Apple เปลี่ยนใจ ก็สามารถส่งคืนคีย์ให้ PCC node ปลอมเพื่อเลี่ยงกลไกป้องกันทั้งหมดได้ และอาจทำเช่นนี้กับผู้ใช้บางรายโดยเฉพาะ

  • การเข้าถึงเครือข่ายของ private cloud: ยังมีข้อมูลไม่เพียงพอว่า private cloud เข้าถึงเครือข่ายภายนอกได้หรือไม่ หากไม่รับประกันเรื่องการเข้าถึงเครือข่าย คำรับประกันว่าคำขอจะอยู่ภายในคลาวด์ก็จะไม่มีความหมาย

  • ทิศทางเชิงบวก: แม้จะไม่ส่งข้อมูลที่อ่อนไหวไป แต่ก็ชื่นชมความพยายามและทิศทางของ Apple เมื่อเทียบกับแนวโน้มปัจจุบันของอุตสาหกรรม