Как частные облачные вычисления Apple поддерживают частную обработку ИИ

WWDC представила целый ряд анонсов от Apple, начиная от настраиваемых домашних экранов в iOS 18 и заканчивая новыми версиями macOS и watchOS. Одним из самых крупных анонсов стал «ИИ» или, как его называют, «Apple Intelligence». Он представляет собой серию функций и интеграций iOS, призванных принести возможности искусственного интеллекта в iPhone. Большинство этих интеграций будут выполняться локально, поскольку Apple уделяет особое внимание сохранению большей части обработки ИИ на устройстве. Однако, молчаливо признав необходимость облачной обработки для интеграции искусственного интеллекта в iPhone, чтобы оставаться конкурентоспособными, Apple также объявила о выпуске Private Cloud Compute (или PCC).

Связанный

Вам придется немного подождать, чтобы увидеть интересные функции Apple Intelligence с WWDC 2024.

У Apple было множество функций искусственного интеллекта, которые можно было продемонстрировать во время WWDC, но как только они будут выпущены в третьем квартале 2024 года, многие из них будут отсутствовать в действии.

PCC, по большому счету, является одним из наиболее интересных с технической точки зрения анонсов WWDC. Это означает, что Apple решает одну из самых больших текущих проблем не только в сфере искусственного интеллекта и машинного обучения, но и в области конфиденциальности пользователей в целом.

Что такое ПКК?

PCC — это ориентированная на конфиденциальность система обработки пользовательских данных в облаке.

Источник: Apple

Private Cloud Compute — это система Apple, позволяющая переносить обработку пользовательских данных на серверы в облаке (или узлы, как мы их будем называть) для запуска более сложных моделей машинного обучения, чем те, которые доступны на устройстве. Необходимо перенести эту обработку в облако с вашего телефона. Хотя мобильные чипы стали более мощными, чем когда-либо, ограничения устройств с батарейным питанием все еще присутствуют.

Такая разгрузка сопряжена с некоторыми сложными проблемами в отношении конфиденциальности пользователей. В приложении для обмена сообщениями, где данные не нужно обрабатывать в облаке, а нужно лишь синхронизировать между устройствами, сквозное шифрование (или E2EE) теперь является отраслевым стандартом защиты пользовательских данных. Это означает, что у поставщика услуг нет средств для расшифровки и просмотра ваших личных данных, даже если он этого захочет. Однако для рабочих нагрузок машинного обучения это пока невозможно, поскольку данные должны быть доступны для чтения сервером, чтобы модели могли их вычислять (хотя теоретически это не всегда может быть так с достижениями в области конфиденциального машинного обучения и гомоморфного шифрования).

Вот тут-то и приходит на помощь PCC. PCC — это серия поддающихся проверке гарантий Apple относительно того, как ваши пользовательские данные будут обрабатываться в облаке. Мы рассмотрим эти гарантии более подробно, но они, как правило, состоят из криптографических методов (и существующих технологий, таких как Secure Enclave), предотвращающих хранение, совместное использование или доступ к вашим данным кем-либо еще — или даже изнутри Apple. В то время как другие компании могут заявлять аналогичные заявления (например, провайдеры VPN), Apple предпринимает серьезную попытку не только заявить о конфиденциальности, но и предоставить доказательства ее безопасности.

Как работает ПКК?

PCC — это серия поддающихся проверке гарантий.

Источник: Apple

Apple PCC построен на базе Apple Silicon и использует несколько технологий, уже используемых на iPhone и Mac, таких как Secure Boot и Secure Enclave. Есть несколько аспектов того, как работают эти гарантии конфиденциальности пользователей, и они более подробно объяснены в обзоре собственного блога Apple. Нам также пообещали больше технических подробностей, когда PCC будет запущен в бета-версии. Начнем с того, что PCC — это всего лишь серия облачных серверов, которые обрабатывают пользовательские данные, но с некоторыми специальными мерами, принятыми для обеспечения безопасной обработки пользовательских данных и их удаления после завершения работы.

Источник: Apple

Вычисления без сохранения состояния означают, что на узле не сохраняются данные.

Первый элемент PCC, который выделяет Apple, — это стремление к вычислениям без сохранения состояния. Это означает, что никакие пользовательские данные не сохраняются на облачном узле после завершения вычислений. Процесс разгрузки PCC начинается с запроса, инициируемого вашим телефоном, который предоставляет только пользовательские данные, необходимые для обработки этого запроса. Эти данные шифруются ключами, опубликованными используемым узлом PCC, и безопасно передаются на узел. Apple разработала этот метод передачи таким образом, чтобы никакие промежуточные устройства — даже с инфраструктурой Apple, такой как балансировщики нагрузки или кэши — не имели доступа к пользовательским данным.

Попав на узел, данные обрабатываются по запросу, а затем возвращаются пользователю. После получения ответа все пользовательские данные на узле удаляются. Apple использует Secure Enclave, чтобы гарантировать, что все запросы к узлу надежно зашифрованы, а также использует безопасную загрузку и подпись кода, чтобы гарантировать, что на узле может работать только утвержденный код. Здесь также нет динамических языков времени выполнения: Apple использует Swift в своем программном стеке, чтобы обеспечить безопасность памяти и смягчить атаки во время выполнения. Наконец, используемые ключи шифрования диска случайным образом выбираются Secure Enclave при каждой перезагрузке, поэтому даже если пользовательские данные сохранятся на диске, их невозможно будет восстановить после перезагрузки узла.

Есть еще кое-что, что Apple делает для вычислений без сохранения состояния, поэтому мы рекомендуем вам просмотреть их сообщения в блоге, если вы хотите узнать больше.

Источник: Apple

Apple ограничивает собственный доступ

Еще один важный шаг в обеспечении конфиденциальности, который Apple предпринимает на своих узлах PCC, — это ограничение собственного доступа. Это исторически трудная для решения проблема. Постоянная проблема балансирования доступа разработчиков для отладки, реагирования на инциденты и разработки, а также потребностей пользователей в безопасности и конфиденциальности — это то, с чем постоянно сталкивается вся технологическая индустрия.

Однако с PCC Apple идет на крайний шаг, закрывая даже собственный доступ к узлам. Ни один из узлов PCC не будет иметь какой-либо удаленной оболочки или функций отладки, а также не будет использовать метод экстренного доступа «разбивание стекла», распространенный во всей отрасли. К безопасности ведения журнала также относятся серьезно: Apple воздерживается от добавления функции централизованного ведения журнала на узлы и требует, чтобы журналы проверялись на наличие личных данных, прежде чем им будет разрешено покинуть узел. Журналы также должны соответствовать заранее описанной схеме. Apple не взяла на себя обязательство публиковать эти схемы и не вдавалась в более подробную информацию о последствиях отсутствия центральной системы журналирования, поэтому трудно предположить, насколько все это будет эффективно.

Кажется, это действительно шаг в правильном направлении для Apple. Ограничение собственного доступа таким образом, скорее всего, затруднит его работу и затруднит реагирование на инциденты в случае сбоя в работе PCC. Но, похоже, это правильный поступок.

Apple снижает риск целевых атак

Apple снижает риск злоумышленников, имеющих физический доступ к узлам, несколькими способами, требуя более строгих стандартов для оборудования Apple Silicon, которое проверяется как на производстве, так и по прибытии в центр обработки данных. Затем все новое оборудование должно быть криптографически активировано Apple, гарантируя, что ни один телефон никогда не будет отправлять запросы на узел, который не был активирован и не управлялся Apple.

Затем используется набор методов, которые Apple называет «целевым распространением», чтобы предотвратить перенаправление запросов конкретного пользователя на определенные узлы. Это включает в себя отдельно зашифрованный запрос метаданных к балансировщикам нагрузки Apple, который не содержит пользовательских данных, для включения маршрутизации, а также реализацию стороннего ретранслятора OHTTP для предотвращения скомпрометированных атак маршрутизации балансировщика нагрузки на основе исходного IP-адреса. Это немного сложно, но в результате злоумышленнику придется контролировать несколько отдельных элементов инфраструктуры Apple, а также, возможно, сторонний узел OHTTP, чтобы эффективно направлять трафик конкретного пользователя на скомпрометированный узел. Будем надеяться, что этот сценарий станет невозможным благодаря их протоколам.

PCC фокусируется на проверке программного обеспечения

Apple делает большие шаги в направлении общедоступного облачного программного обеспечения

Последний и, возможно, самый важный шаг, который Apple предпринимает в направлении защиты пользовательских данных в облаке, — это обязательство обеспечить поддающуюся проверке прозрачность программного обеспечения, работающего на узлах PCC. Это означает, что Apple опубликует все рабочие образы программного обеспечения, работающего на каждом узле PCC, и предоставит телефонам криптографический способ проверки того, что образ программного обеспечения, работающий на узле, опубликован Apple и доступен для проверки исследователями. Мы не уделяем здесь внимания деталям, поскольку это сложная система, но она использует комбинацию Secure Enclave и подписи кода, чтобы гарантировать, что на узле не выполняется несанкционированный код, а затем предоставляет криптографический способ доказать это внешнее устройство, снова используя функцию Secure Enclave. Это гарантирует, что ваш телефон сможет проверить, что на узле работает общедоступное и проверяемое программное обеспечение и что оно не было подделано.

Это само по себе большое событие, но Apple также опубликует исходный код некоторых критических областей настройки безопасности узлов PCC, хотя они еще не были выпущены, а также текстовые версии своих прошивок iBoot и sepOS. Это еще один огромный шаг вперед, относительно беспрецедентный ни для кого, не говоря уже об Apple.

Это чрезвычайно редкий процесс для любого развертывания такого масштаба. Это не является надежным решением, несмотря на щедрые программы Apple по вознаграждению за обнаружение ошибок (которые будут продолжены с PCC), это все равно потребует огромного объема работы со стороны исследователей безопасности, чтобы деконструировать двоичные файлы и по-настоящему начать проверять эти узлы. Но это определенно серьезный шаг вперед по сравнению с обычной обработкой пользовательских данных «черным ящиком», используемой многими поставщиками услуг.

Apple серьезно относится к конфиденциальности пользователей

Независимо от того, являетесь ли вы пользователем Apple или нет, опыт компании в области защиты пользовательских данных и конфиденциальности как на устройствах, так и в облаке является ведущим в отрасли. Результатом всех этих гарантий и методов проверки является то, что исследователи, разработчики и пользователи могут сами проверять облачные сервисы, с которыми они взаимодействуют, и проверять их безопасность. Хотя это не является гарантией того, что службы не будут скомпрометированы, эта система проверки сообщества лежит в основе всего программного обеспечения с открытым исходным кодом. Нам придется подождать и посмотреть, сохранится ли приверженность Apple обеспечению безопасности пользователей для машинного обучения в облаке в долгосрочной перспективе, но общий дизайн системы PCC чрезвычайно многообещающий.