Apple Private Cloud Compute - Batas Baru Privasi AI di Cloud

 (security.apple.com)
1 poin oleh GN⁺ 2024-06-11 | 1 komentar | Bagikan ke WhatsApp
  • Private Cloud Compute(PCC) adalah sistem pemrosesan AI berbasis cloud yang dikembangkan Apple, dirancang dengan arsitektur yang berpusat pada privasi agar data pribadi diproses dalam kondisi bahkan Apple pun tidak dapat mengaksesnya
  • Berbasis Apple Silicon dan sistem operasi yang diperkuat, sistem ini mewujudkan struktur komputasi stateless di mana data pengguna langsung dihapus setelah permintaan diproses dan tidak tersisa sebagai log atau data debugging
  • Dengan menghapus remote shell, alat debugging, dan sistem log umum, sistem ini secara mendasar memblokir akses administrator saat beroperasi, sehingga hanya kode yang telah disetujui sebelumnya yang dapat dijalankan
  • Melalui verifikasi rantai pasok perangkat keras, OHTTP relay, dan autentikasi berbasis RSA Blind Signature, PCC memastikan non-targetability untuk mencegah serangan yang menargetkan pengguna tertentu
  • Dengan mempublikasikan seluruh image perangkat lunak dan measurement PCC, serta menyediakan transparency log dan lingkungan riset virtual agar peneliti dapat memverifikasinya, PCC menjamin verifiable transparency

Ringkasan Private Cloud Compute

  • PCC adalah sistem AI cloud yang dirancang untuk mendukung fitur-fitur lanjutan Apple Intelligence, memungkinkan komputasi AI skala besar dengan perlindungan data pribadi sebagai prasyarat utama
  • Ini merupakan upaya pertama untuk memperluas model keamanan dan privasi setingkat perangkat Apple ke cloud, dan bahkan Apple sendiri tidak dapat mengakses data pengguna
  • Terdiri dari perangkat keras server khusus berbasis Apple Silicon dan sistem operasi yang merekonstruksi teknologi keamanan iOS·macOS, dengan memanfaatkan Code Signing, sandboxing, dan Secure Enclave

Keterbatasan AI cloud konvensional

  • AI cloud pada umumnya memerlukan akses ke data pengguna yang tidak terenkripsi, sehingga enkripsi end-to-end tidak dimungkinkan
  • Terdapat masalah seperti sulitnya memverifikasi keamanan dan privasi, akses istimewa administrator saat sistem berjalan, serta kurangnya transparansi perangkat lunak
  • Untuk mengatasi keterbatasan ini, PCC mengadopsi enforceable guarantees yang dapat dipaksakan secara teknis sebagai prinsip desain inti

Persyaratan desain utama

  • Pemrosesan data stateless: data pengguna langsung dihapus setelah permintaan diproses, dan tidak tersisa di log maupun data debugging
  • Pemaksaan teknis: tanpa bergantung pada komponen eksternal, jaminan keamanan harus dapat diverifikasi sepenuhnya di dalam sistem
  • Larangan akses istimewa saat beroperasi: administrator maupun engineer tidak dapat mengakses data pengguna bahkan saat terjadi gangguan sistem
  • Non-targetability: dirancang agar serangan yang menargetkan pengguna tertentu menjadi mustahil
  • Verifiable transparency: peneliti harus dapat membandingkan dan memverifikasi perangkat lunak yang benar-benar berjalan di produksi dengan image yang dipublikasikan

Struktur node PCC

  • Perangkat keras server kustom berbasis Apple Silicon menjadi fondasi kepercayaan, mencakup teknologi Secure Boot dan Secure Enclave dari iPhone
  • Sistem operasinya merupakan bentuk yang diperkecil dan diperkuat dari inti iOS·macOS, dioptimalkan untuk workload inferensi LLM
  • Menjalankan Apple Foundation Model di cloud dengan menggunakan stack machine learning berbasis Swift on Server

Komputasi stateless dan jaminan keamanan

  • Perangkat pengguna mengenkripsi permintaan dengan kunci publik node PCC sebelum mengirimkannya, sehingga komponen perantara tidak dapat mendekripsinya
  • Dengan Secure Boot dan Code Signing, hanya kode yang disetujui yang dapat dijalankan, serta penyisipan kode JIT diblokir
  • Secure Enclave melindungi kunci dekripsi, dan pengacakan kunci enkripsi saat reboot mencegah data tertinggal
  • Pointer Authentication Codes, sandboxing, dan jaminan keamanan memori meminimalkan permukaan serangan

Pemblokiran akses istimewa

  • Remote shell, alat debugging, dan developer mode dihapus sepenuhnya
  • Sistem log umum tidak disertakan, dan hanya audit log terstruktur yang telah ditentukan sebelumnya yang dapat dikirim ke luar
  • Dengan desain ini, terbentuk struktur yang membuat kebocoran data pengguna tidak mungkin terjadi bahkan saat sistem sedang beroperasi

Non-targetability

  • Untuk mencegah penyerang menargetkan pengguna tertentu, diterapkan verifikasi rantai pasok perangkat keras dan penyebaran permintaan (target diffusion)
    • Pada tahap manufaktur dilakukan pemeriksaan gambar resolusi tinggi dan penyegelan, serta verifikasi oleh pengawas pihak ketiga
    • Metadata permintaan tidak menyertakan informasi identitas pribadi, dan autentikasi dilakukan dengan RSA Blind Signature
    • Alamat IP dianonimkan melalui OHTTP relay
  • Load balancer dirancang agar tidak mengetahui informasi pengguna, sehingga mencegah routing yang bias ke node tertentu

Verifiable transparency

  • Image perangkat lunak dan measurement dari seluruh build operasional PCC dipublikasikan
  • Siapa pun dapat memverifikasi measurement kode yang tercatat di transparency log
  • Disediakan alat untuk peneliti dan lingkungan riset virtual (PCC Virtual Research Environment)
  • Sebagian source code inti keamanan dipublikasikan, dan bootloader sepOS serta iBoot disediakan dalam bentuk plaintext
  • Program Apple Security Bounty memberikan imbalan untuk pelaporan kerentanan

Rencana ke depan

  • PCC diposisikan sebagai standar baru arsitektur keamanan AI cloud
  • Setelah versi beta dirilis, akan ada analisis teknis mendalam dan perluasan partisipasi peneliti keamanan
  • Melalui PCC, Apple menargetkan pembangunan infrastruktur AI yang berpusat pada privasi pengguna

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-11
Pendapat Hacker News

  • Pendapat kriptografer Matt Green: Pendapat Matt layak dijadikan rujukan. Tersedia tautan tweet.

  • Masalah aksesibilitas tweet: Bertanya-tanya apakah Matt menyadari bahwa tweet tersebut tidak bisa dibaca tanpa akun X. Ada saran untuk menggunakan BlueSky atau Masto.

  • Masalah kepercayaan pada Apple: Apple bisa saja membuat backdoor kapan pun melalui pembaruan, dan pemerintah dapat memaksakannya. Kurangnya transparansi merusak pesan soal kepercayaan.

  • Masalah privasi di AS: Di Amerika Serikat, pemerintah dapat memaksa Apple mengungkapkan data dan bahkan melarangnya mengungkapkan bahwa hal itu terjadi. Ini adalah keterbatasan yang tidak bisa diselesaikan Apple.

  • Peningkatan untuk para peneliti: Untuk pertama kalinya di platform Apple, firmware sepOS dan bootloader iBoot disediakan dalam bentuk plaintext sehingga peneliti dapat mempelajari komponen penting dengan lebih mudah.

  • Kesenjangan 90 hari: Bisa ada jeda hingga 90 hari antara perangkat lunak yang rentan dirilis dan saat kerentanannya ditemukan. Diharapkan ketersediaan image nyata bisa secepat mungkin.

  • Untuk siapa ini dibuat: Muncul pertanyaan fungsi ini sebenarnya untuk siapa. Secara pribadi, ingin mematikan fitur "calls home". Tidak ingin mengatakan bahwa opsi Apple adalah yang paling aman.

  • Penggunaan Swift di server: Menarik bahwa mereka membangun stack machine learning baru dengan menggunakan Swift di server. Tersedia tautan ke dokumentasi server Swift.

  • Jaminan keamanan yang dapat diaudit: Ada optimisme yang hati-hati mengenai apakah Apple dapat memberikan jaminan keamanan yang dapat diaudit. Jika OS cloud tersedia sebagai open source, itu akan sangat bernilai.

  • Kemungkinan bypass: Jika Apple berubah pikiran, mereka dapat mengembalikan kunci ke node PCC palsu dan melewati semua perlindungan. Ada kemungkinan ini juga dilakukan terhadap pengguna tertentu.

  • Akses jaringan pada private cloud: Informasi tentang apakah private cloud dapat mengakses jaringan eksternal masih kurang. Jika akses jaringan tidak dijamin, maka jaminan bahwa permintaan tetap berada di dalam cloud menjadi tidak berarti.

  • Arah yang positif: Meski tidak akan mengirim data sensitif, upaya dan arah yang diambil Apple tetap diapresiasi jika dibandingkan dengan tren industri saat ini.