Apple Private Cloud Compute - Ranh giới mới cho quyền riêng tư AI trên đám mây

 (security.apple.com)
1 điểm bởi GN⁺ 2024-06-11 | 1 bình luận | Chia sẻ qua WhatsApp
  • Private Cloud Compute(PCC) là hệ thống xử lý AI trên nền tảng đám mây do Apple phát triển, được thiết kế theo kiến trúc ưu tiên quyền riêng tư để dữ liệu cá nhân được xử lý trong trạng thái ngay cả Apple cũng không thể truy cập
  • Dựa trên Apple Siliconhệ điều hành được tăng cường bảo mật, hệ thống triển khai cấu trúc tính toán không trạng thái (stateless), trong đó dữ liệu người dùng bị xóa ngay lập tức sau khi xử lý yêu cầu và không được lưu lại dưới dạng log hay dữ liệu gỡ lỗi
  • Loại bỏ remote shell, công cụ gỡ lỗi và hệ thống log thông thường để ngăn chặn hoàn toàn quyền truy cập của quản trị viên trong lúc vận hành, chỉ cho phép chạy những đoạn mã đã được phê duyệt từ trước
  • Đảm bảo tính không thể nhắm mục tiêu (non-targetability) để ngăn các cuộc tấn công nhắm vào người dùng cụ thể, thông qua xác minh chuỗi cung ứng phần cứng, OHTTP relay, và cơ chế xác thực dựa trên RSA Blind Signature
  • Công khai toàn bộ image phần mềm và các giá trị đo lường của PCC, đồng thời cung cấp nhật ký minh bạch và môi trường nghiên cứu ảo để các nhà nghiên cứu có thể xác minh, bảo đảm tính minh bạch có thể kiểm chứng (verifiable transparency)

Tổng quan về Private Cloud Compute

  • PCC là hệ thống AI trên đám mây được thiết kế để hỗ trợ các tính năng nâng cao của Apple Intelligence, cho phép thực hiện tính toán AI quy mô lớn với dữ liệu cá nhân nhưng vẫn đặt bảo vệ quyền riêng tư làm tiền đề
  • Đây là nỗ lực đầu tiên mở rộng mô hình bảo mật và quyền riêng tư ở cấp độ thiết bị Apple lên đám mây, và ngay cả Apple cũng không thể truy cập dữ liệu người dùng
  • Hệ thống gồm phần cứng máy chủ tùy biến dựa trên Apple Siliconhệ điều hành tái cấu trúc từ các công nghệ bảo mật của iOS·macOS, tận dụng Code Signing, sandboxing, Secure Enclave và các cơ chế khác

Giới hạn của AI đám mây truyền thống

  • AI đám mây thông thường cần truy cập dữ liệu người dùng không được mã hóa, nên không thể áp dụng mã hóa đầu cuối
  • Tồn tại các vấn đề như khó kiểm chứng bảo mật và quyền riêng tư, quyền truy cập đặc quyền của quản trị viên trong quá trình vận hành, và thiếu minh bạch phần mềm
  • Để vượt qua các giới hạn này, PCC lấy các đảm bảo bảo mật có thể cưỡng chế bằng kỹ thuật (enforceable guarantees) làm nguyên tắc thiết kế cốt lõi

Các yêu cầu thiết kế cốt lõi

  • Xử lý dữ liệu không trạng thái: dữ liệu người dùng bị xóa ngay sau khi xử lý yêu cầu, không để lại trong log hay dữ liệu gỡ lỗi
  • Tính cưỡng chế bằng kỹ thuật: không phụ thuộc vào thành phần bên ngoài, các đảm bảo bảo mật phải có thể được kiểm chứng đầy đủ từ bên trong hệ thống
  • Cấm truy cập đặc quyền trong lúc vận hành: quản trị viên hoặc kỹ sư không thể truy cập dữ liệu người dùng ngay cả khi hệ thống gặp sự cố
  • Tính không thể nhắm mục tiêu (non-targetability): được thiết kế để không thể thực hiện các cuộc tấn công nhắm vào người dùng cụ thể
  • Tính minh bạch có thể kiểm chứng: các nhà nghiên cứu phải có thể đối chiếu và xác minh phần mềm đang chạy thực tế với image đã công khai

Cấu trúc node PCC

  • Phần cứng máy chủ tùy biến dựa trên Apple Silicon là nền tảng của lòng tin, bao gồm các công nghệ Secure BootSecure Enclave như trên iPhone
  • Hệ điều hành là phiên bản rút gọn và được gia cố từ lõi của iOS·macOS, tối ưu cho khối lượng công việc suy luận LLM
  • Sử dụng stack machine learning dựa trên Swift on Server để chạy Apple Foundation Model trên đám mây

Tính toán không trạng thái và đảm bảo bảo mật

  • Thiết bị người dùng mã hóa yêu cầu bằng khóa công khai của node PCC trước khi gửi đi, các thành phần trung gian không thể giải mã
  • Chỉ mã đã được phê duyệt mới có thể chạy nhờ Secure BootCode Signing, đồng thời chặn việc chèn mã JIT
  • Secure Enclave bảo vệ khóa giải mã, và ngẫu nhiên hóa khóa mã hóa khi khởi động lại để ngăn dữ liệu còn sót lại
  • Giảm thiểu bề mặt tấn công bằng Pointer Authentication Codes, sandboxingđảm bảo an toàn bộ nhớ

Chặn truy cập đặc quyền

  • Loại bỏ hoàn toàn remote shell, công cụ gỡ lỗi và chế độ nhà phát triển
  • Không bao gồm hệ thống log thông thường, chỉ cho phép gửi ra ngoài các nhật ký kiểm toán có cấu trúc đã được định nghĩa trước
  • Với thiết kế này, hệ thống bảo đảm không thể rò rỉ dữ liệu người dùng ngay cả trong lúc vận hành

Tính không thể nhắm mục tiêu (Non-targetability)

  • Áp dụng xác minh chuỗi cung ứng phần cứngphân tán yêu cầu (target diffusion) để kẻ tấn công không thể nhắm vào người dùng cụ thể
    • Ở giai đoạn sản xuất, thực hiện kiểm tra ảnh độ phân giải cao và niêm phong, cùng với xác minh của bên giám sát thứ ba
    • Metadata của yêu cầu không bao gồm thông tin nhận dạng cá nhân, xác thực bằng RSA Blind Signature
    • Ẩn danh địa chỉ IP thông qua OHTTP relay
  • Bộ cân bằng tải được thiết kế để không biết thông tin người dùng, ngăn việc định tuyến thiên lệch tới một node cụ thể

Tính minh bạch có thể kiểm chứng (Verifiable Transparency)

  • Công khai image phần mềm và các giá trị đo lường của mọi bản build PCC đang vận hành
  • Bất kỳ ai cũng có thể xác minh các giá trị đo mã được ghi trong nhật ký minh bạch
  • Cung cấp công cụ cho nhà nghiên cứu và môi trường nghiên cứu ảo (PCC Virtual Research Environment)
  • Công khai một phần mã nguồn cốt lõi về bảo mật, đồng thời cung cấp sepOS và bootloader iBoot ở dạng văn bản thuần
  • Trao thưởng cho báo cáo lỗ hổng thông qua chương trình Apple Security Bounty

Kế hoạch sắp tới

  • PCC được đưa ra như một tiêu chuẩn mới cho kiến trúc bảo mật AI trên đám mây
  • Trong thời gian tới, Apple sẽ công bố bản beta, phân tích kỹ thuật chuyên sâumở rộng sự tham gia của các nhà nghiên cứu bảo mật
  • Thông qua PCC, Apple hướng tới xây dựng hạ tầng AI lấy quyền riêng tư của người dùng làm trung tâm

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-11
Ý kiến trên Hacker News

  • Ý kiến của nhà mật mã học Matt Green: Ý kiến của Matt Green rất đáng tham khảo. Có kèm liên kết tweet.

  • Vấn đề khả năng truy cập tweet: Không rõ Matt có nhận ra rằng không thể đọc tweet nếu không có tài khoản X hay không. Có đề xuất dùng BlueSky hoặc Masto.

  • Vấn đề niềm tin với Apple: Apple có thể tạo backdoor bất cứ lúc nào thông qua bản cập nhật, và chính phủ có thể ép buộc điều đó, nên phát sinh vấn đề về niềm tin. Nếu thiếu minh bạch thì thông điệp về sự tin cậy sẽ bị suy yếu.

  • Vấn đề quyền riêng tư tại Mỹ: Ở Mỹ, chính phủ có thể buộc Apple phải giao nộp dữ liệu và cũng có thể cấm họ công khai việc đó. Đây là một giới hạn mà Apple không thể tự giải quyết.

  • Cải thiện cho các nhà nghiên cứu: Lần đầu tiên trên nền tảng Apple, firmware sepOS và bootloader iBoot được cung cấp ở dạng văn bản thuần, giúp các nhà nghiên cứu dễ dàng phân tích những thành phần quan trọng hơn.

  • Khoảng trống 90 ngày: Có thể tồn tại khoảng cách tới 90 ngày giữa lúc phần mềm dễ tổn thương được phát hành và lúc nó bị phát hiện. Hy vọng ảnh hệ thống thực tế sẽ được cung cấp sớm nhất có thể.

  • Tính năng này dành cho ai: Có ý kiến thắc mắc tính năng này thực sự dành cho ai. Cá nhân họ muốn tắt chức năng "calls home" và không muốn nói rằng Apple là lựa chọn an toàn nhất.

  • Dùng Swift trên server: Việc xây dựng một stack machine learning mới bằng Swift trên server là điều thú vị. Có kèm tài liệu Swift server.

  • Bảo đảm bảo mật có thể kiểm toán: Có sự lạc quan thận trọng về việc liệu Apple có thể cung cấp các bảo đảm bảo mật có thể kiểm toán hay không. Nếu cloud OS được phát hành dưới dạng mã nguồn mở thì sẽ rất có giá trị.

  • Khả năng lách cơ chế bảo vệ: Nếu Apple đổi ý, họ có thể trả khóa cho các node PCC giả để vượt qua mọi cơ chế bảo vệ. Cũng có khả năng họ làm điều này với một người dùng cụ thể.

  • Khả năng truy cập mạng của private cloud: Chưa có đủ thông tin về việc private cloud có thể truy cập mạng bên ngoài hay không. Nếu truy cập mạng không bị chặn thì bảo đảm rằng yêu cầu chỉ ở lại trong cloud sẽ trở nên vô nghĩa.

  • Tín hiệu tích cực: Dù sẽ không gửi dữ liệu nhạy cảm, vẫn đánh giá cao nỗ lực và hướng đi của Apple khi so với xu hướng hiện tại của ngành.