Apple Private Cloud Compute: una nueva frontera de la privacidad de IA en la nube

 (security.apple.com)
1 puntos por GN⁺ 2024-06-11 | 1 comentarios | Compartir por WhatsApp
  • Private Cloud Compute (PCC) es un sistema de procesamiento de IA en la nube desarrollado por Apple, diseñado con una arquitectura centrada en la privacidad para que los datos personales se procesen en un estado al que ni siquiera Apple puede acceder
  • Basado en Apple Silicon y un sistema operativo reforzado, implementa una estructura de cómputo sin estado (stateless) en la que los datos del usuario se eliminan de inmediato después de procesar la solicitud y no quedan registrados ni siquiera en logs o datos de depuración
  • Elimina el shell remoto, las herramientas de depuración y los sistemas de logs generales para bloquear de raíz el acceso administrativo durante la operación, de modo que solo pueda ejecutarse código aprobado previamente
  • Garantiza la no focalización (non-targetability) para evitar ataques dirigidos a usuarios específicos mediante verificación de la cadena de suministro de hardware, relays OHTTP y autenticación basada en RSA Blind Signature
  • Publica todas las imágenes de software y mediciones de PCC y ofrece logs de transparencia y un entorno virtual de investigación para que investigadores puedan verificarlos, garantizando una transparencia verificable (verifiable transparency)

Resumen de Private Cloud Compute

  • PCC es un sistema de IA en la nube diseñado para respaldar funciones avanzadas de Apple Intelligence, permitiendo cómputo de IA a gran escala con la protección de datos personales como premisa
  • Es el primer intento de extender a la nube el modelo de seguridad y privacidad a nivel de dispositivo de Apple, y ni siquiera Apple puede acceder a los datos del usuario
  • Está compuesto por hardware de servidor basado en Apple Silicon y un sistema operativo que reconfigura las tecnologías de seguridad de iOS y macOS, aprovechando Code Signing, sandboxing y Secure Enclave

Limitaciones de la IA en la nube tradicional

  • La IA en la nube convencional requiere acceso a datos de usuario sin cifrar, por lo que no es posible el cifrado de extremo a extremo
  • Existen problemas como la dificultad para verificar seguridad y privacidad, el acceso privilegiado de administradores durante la operación y la falta de transparencia del software
  • Para superar estas limitaciones, PCC adopta como principio central de diseño las garantías de seguridad técnicamente exigibles (enforceable guarantees)

Requisitos clave de diseño

  • Procesamiento de datos sin estado: los datos del usuario se eliminan inmediatamente después de procesar la solicitud y no permanecen en logs ni datos de depuración
  • Aplicación técnica obligatoria: las garantías de seguridad no deben depender de componentes externos; deben poder verificarse por completo dentro del propio sistema
  • Prohibición de acceso privilegiado durante la operación: administradores o ingenieros no pueden acceder a los datos del usuario ni siquiera ante fallas del sistema
  • No focalización (non-targetability): el sistema está diseñado para que no sean posibles ataques dirigidos a usuarios específicos
  • Transparencia verificable: los investigadores deben poder comparar y verificar el software en operación real con las imágenes publicadas

Estructura de los nodos PCC

  • El hardware de servidor personalizado basado en Apple Silicon es la base de confianza e incluye tecnologías como Secure Boot y Secure Enclave del iPhone
  • El sistema operativo es una versión reducida y reforzada del núcleo de iOS y macOS, optimizada para cargas de trabajo de inferencia de LLM
  • Usa una pila de machine learning basada en Swift on Server para ejecutar el Apple Foundation Model en la nube

Cómputo sin estado y garantías de seguridad

  • El dispositivo del usuario cifra la solicitud con la clave pública del nodo PCC antes de enviarla, por lo que los componentes intermedios no pueden descifrarla
  • Secure Boot y Code Signing permiten ejecutar solo código aprobado, bloqueando la inyección de código JIT
  • Secure Enclave protege las claves de descifrado, y la aleatorización de claves de cifrado al reiniciar evita la persistencia de datos
  • Pointer Authentication Codes, sandboxing y seguridad de memoria minimizan la superficie de ataque

Bloqueo del acceso privilegiado

  • Se eliminan por completo el shell remoto, las herramientas de depuración y el modo desarrollador
  • No se incluye un sistema de logs general; solo pueden enviarse externamente logs de auditoría estructurados predefinidos
  • Este diseño establece una estructura en la que no puede haber filtración de datos de usuario ni siquiera durante la operación

No focalización (Non-targetability)

  • Para que un atacante no pueda apuntar a un usuario específico, se aplican verificación de la cadena de suministro de hardware y difusión de solicitudes (target diffusion)
    • En la etapa de fabricación se realizan inspecciones de imagen de alta resolución y sellado, además de verificación por observadores externos
    • Los metadatos de las solicitudes no incluyen información de identificación personal, y la autenticación se realiza con RSA Blind Signature
    • La dirección IP se anonimiza mediante relays OHTTP
  • El balanceador de carga está diseñado para no conocer información del usuario, evitando el enrutamiento sesgado hacia nodos específicos

Transparencia verificable (Verifiable Transparency)

  • Se publican las imágenes de software y las mediciones de todas las compilaciones operativas de PCC
  • Cualquiera puede verificar las mediciones de código registradas en el log de transparencia
  • Se ofrecen herramientas para investigadores y un entorno virtual de investigación (PCC Virtual Research Environment)
  • Se publica parte del código fuente clave para la seguridad, y sepOS e iBoot bootloader se ofrecen en texto plano
  • El programa Apple Security Bounty recompensa los reportes de vulnerabilidades

Próximos pasos

  • PCC se presenta como un nuevo estándar para la arquitectura de seguridad de IA en la nube
  • Más adelante se prevé la publicación de una versión beta, seguida de análisis técnicos en profundidad y una mayor participación de investigadores de seguridad
  • Con PCC, Apple busca establecer una infraestructura de IA centrada en la privacidad del usuario

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-06-11
Comentarios de Hacker News

  • Opinión del criptógrafo Matt Green: Vale la pena revisar la opinión de Matt Green. Se incluye un enlace al tuit.

  • Problema de accesibilidad de los tuits: Se preguntan si Matt sabe que no se pueden leer los tuits sin una cuenta de X. Sugieren usar BlueSky o Masto.

  • Problema de confianza en Apple: Hay un problema de confianza porque Apple podría crear una puerta trasera en cualquier momento mediante una actualización, y el gobierno podría obligarla a hacerlo. Si falta transparencia, el mensaje de confianza se debilita.

  • Problema de privacidad en EE. UU.: En Estados Unidos, el gobierno puede obligar a Apple a revelar datos y también impedirle divulgarlo. Es una limitación que Apple no puede resolver.

  • Mejoras para investigadores: Por primera vez en la plataforma de Apple, el firmware de sepOS y el bootloader iBoot se ofrecen en texto plano, lo que permitirá a los investigadores estudiar componentes importantes con mayor facilidad.

  • La brecha de 90 días: Puede haber una brecha de hasta 90 días entre que un software vulnerable se publica y que se descubre. Esperan que las imágenes reales estén disponibles lo antes posible.

  • ¿Para quién es esto?: Se preguntan para quién es esta función. Personalmente, preferirían poder desactivar la función de "calls home". No quieren decir que Apple sea la opción más segura.

  • Uso de Swift en el servidor: Les parece interesante que hayan usado Swift en el servidor para construir un nuevo stack de machine learning. Se incluye un enlace a la documentación de Swift para servidor.

  • Garantías de seguridad auditables: Hay un optimismo cauteloso sobre si Apple podrá ofrecer garantías de seguridad auditables. Si el OS de la nube se ofreciera como open source, sería muy valioso.

  • Posibilidad de evasión: Si Apple cambia de opinión, podría devolver claves a nodos PCC falsos y así evadir todas las protecciones. También podría hacerlo para usuarios específicos.

  • Accesibilidad de red de la nube privada: Falta información sobre si la nube privada puede acceder a redes externas. Si no se garantiza el acceso a la red, la garantía de que la solicitud permanece dentro de la nube pierde sentido.

  • Dirección positiva: Aunque no enviarían datos sensibles, valoran mucho el esfuerzo y la dirección de Apple en comparación con la tendencia actual de la industria.