Kraken: Higher-order EM Side-Channel Attacks on DNNs in Near and Far Field

Die Arbeit „Kraken" demonstriert erstmals die Extraktion von Parametern aus GPU-Tensor-Cores mittels Nahfeld-Seitenkanalangriffen und zeigt zudem, dass selbst aus 100 cm Entfernung durch eine Glasbarriere hindurch Informationen über Gewichte und Hyperparameter von LLMs abgegriffen werden können.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen unglaublich teuren, geheimen Kochrezept für die perfekte Pizza entwickelt. Dieses Rezept ist das geistige Eigentum Ihres Unternehmens und hat Millionen gekostet, um es zu perfektionieren. Normalerweise glauben Sie, dass dieses Rezept sicher ist, solange niemand in Ihre Küche eindringen kann.

Aber was, wenn ein Dieb nicht in die Küche muss, sondern nur hört, wie Sie kochen?

Das ist im Grunde die Kernbotschaft der Forschungsarbeit „Kraken". Die Wissenschaftler haben gezeigt, wie man die Geheimnisse von künstlicher Intelligenz (KI) stiehlt, indem man einfach die elektromagnetischen Wellen abhört, die von der Grafikkarte (GPU) eines Computers ausgehen.

Hier ist die Erklärung in einfachen Worten, unterteilt in die wichtigsten Punkte:

1. Der Dieb und das Ziel: KI-Rezepte stehlen

Heutzutage werden riesige KI-Modelle (wie ChatGPT) trainiert. Diese Modelle bestehen aus Millionen von „Gewichten" (den Zahlen, die das Lernen ausmachen). Diese Gewichte sind das Geheimnis. Wenn jemand diese Zahlen stiehlt, hat er die KI gestohlen, ohne sie selbst trainieren zu müssen.

Bisher dachte man, man müsse sehr nah an den Computer herankommen, um diese Geheimnisse zu stehlen. Diese Studie zeigt jedoch: Man kann das auch aus der Ferne tun.

2. Die neue Methode: Der „Kraken" greift an

Die Forscher haben zwei neue Werkzeuge entwickelt, um den Diebstahl effizienter zu machen:

• Der „Warp-Level"-Ansatz (Der Orchester-Leiter):
  Früher haben Diebe versucht, den Stromverbrauch eines einzelnen kleinen Arbeiters (eines Threads) in der Grafikkarte zu messen. Das ist wie wenn man versucht, das Gespräch eines einzelnen Menschen in einem vollen Stadion zu verstehen. Das ist laut und chaotisch.
  Die neuen Forscher haben erkannt, dass die Grafikkarte die Arbeiter in Gruppen von 32 (genannt „Warps") zusammenfasst, die alle gleichzeitig arbeiten. Anstatt auf einen zu hören, hören sie auf die ganze Gruppe. Das ist wie ein Orchester: Wenn alle 32 Musiker gleichzeitig spielen, ist das Signal viel klarer und lauter. So können sie das Geheimnis viel schneller entschlüsseln.

• Der „Higher-Order"-Ansatz (Der Puzzle-Löser):
  Oft wird dasselbe Geheimnis (ein Gewicht) in verschiedenen Rechenschritten verwendet. Früher haben Diebe nur auf einen Moment geachtet. Die neuen Forscher kombinieren jedoch Informationen aus mehreren Zeitpunkten.
  Analogie: Stellen Sie sich vor, Sie versuchen, ein Wort zu erraten. Früher haben Diebe nur auf den ersten Buchstaben geachtet. Jetzt kombinieren sie den ersten, den zweiten und den dritten Buchstaben aus verschiedenen Sätzen, um das Wort schneller zu erraten. Das macht den Angriff viel schneller.

3. Der große Coup: Diebstahl durch die Wand (Far Field)

Das ist der spektakulärste Teil der Studie.

• Nahe Feld (Near Field): Man muss normalerweise sehr nah an den Computer herankommen (wenige Zentimeter), fast wie mit einem Stethoskop auf dem Herzen.
• Fernes Feld (Far Field): Die Forscher haben bewiesen, dass man die Geheimnisse auch aus 100 Metern Entfernung stehlen kann – und zwar sogar durch eine Glaswand!

Stellen Sie sich vor, ein Dieb steht draußen vor Ihrem Bürogebäude. Er hat eine spezielle Antenne (wie eine sehr empfindliche Radio-Antenne) und fängt die unsichtbaren Wellen ab, die von Ihrer Grafikkarte ausgehen. Selbst durch das Fenster hindurch kann er die Daten der KI „hören".

4. Was wurde genau gestohlen?

Sie haben es geschafft, Teile von modernen Sprachmodellen (LLMs, wie Llama) zu stehlen. Besonders interessant war, dass sie nicht das ganze riesige Modell stehlen mussten, sondern nur die kleinen Anpassungen (LoRA), die Firmen machen, um eine KI für einen speziellen Zweck zu trainieren. Das ist wie wenn jemand nur das „Salz" aus Ihrem Rezept stiehlt, das den Unterschied zwischen einer guten und einer perfekten Pizza ausmacht.

5. Warum ist das wichtig?

• Sicherheit: Es zeigt, dass KI-Modelle, die auf modernen Grafikkarten laufen, verwundbar sind. Selbst wenn man sie nicht direkt hackt, können sie durch „Zuhören" (Side-Channel-Angriffe) kompromittiert werden.
• Die Zukunft: Bisher war man sich unsicher, ob man aus der Ferne überhaupt genug Signal fangen kann. Diese Studie sagt: „Ja, das geht."
• Schutz: Um sich zu schützen, reicht es vielleicht nicht mehr, Software zu verschlüsseln. Man muss auch die Hardware abschirmen (z. B. mit Metallgehäusen), damit diese elektromagnetischen Wellen nicht nach außen dringen.

Zusammenfassung in einem Satz

Die Forscher haben bewiesen, dass man die Geheimnisse einer künstlichen Intelligenz stehlen kann, indem man nicht in den Computer eindringt, sondern einfach die elektromagnetischen Wellen abhört, die aus dem Fenster strömen – und zwar mit neuen, cleveren Methoden, die das „Zuhören" viel schärfer und schneller machen als je zuvor.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Kraken: Higher-order EM Side-Channel Attacks on DNNs in Near and Far Field" auf Deutsch:

1. Problemstellung

Moderne Deep Learning-Modelle (DNNs), insbesondere Large Language Models (LLMs), stellen ein enormes geistiges Eigentum dar, dessen Training Millionen von Dollar kostet. Die Diebstahlsicherheit dieser Modelle ist daher kritisch. Bisherige Angriffe auf Modellstehlen basierten oft auf API-Abfragen (Query-based), die durch Gegenmaßnahmen wie Raten-Limiting oder Rauschen eingeschränkt werden können.

Physikalische Side-Channel-Angriffe (SCA) haben sich bereits als effektiv erwiesen, um Gewichte von DNNs auf Mikrocontrollern, FPGAs und GPUs zu extrahieren. Allerdings konzentrierten sich frühere Arbeiten auf die allgemeinen CUDA Cores und nutzten meist Nahfeld-Messungen (sehr nahe am Chip).
Die aktuellen Herausforderungen sind:

• Moderne GPUs nutzen spezialisierte Tensor Cores für Matrixmultiplikationen (essenziell für LLMs), die in früheren SCA-Studien ignoriert wurden.
• Die hohe Parallelität in GPUs (Threads, Warps) erzeugt viel Rauschen, was die Extraktion erschwert.
• Es fehlt an Beweisen, ob Gewichte auch im Fernfeld (Far Field) und durch Hindernisse (z. B. Glas) abgegriffen werden können.

2. Methodik

Die Autoren entwickeln einen mehrstufigen Ansatz, der von der Chip-Analyse bis zur Fernfeld-Extraktion reicht:

A. Hardware-Analyse und Nahfeld-Messung

• Chip-Layout (Floorplan): Mithilfe von Infrarotbildgebung wird die Struktur des GPU-Chips (Jetson Orin Nano) analysiert, um die Streaming Multiprocessors (SMs) und deren Sub-Partitionen zu identifizieren. Dies ermöglicht eine präzise Platzierung der EM-Sonde direkt über den Registerdateien, wo Tensor-Core-Ergebnisse geschrieben werden.
• Leckage-Modelle:
  • Warp-Level-Modell: Anstatt nur den Energieverbrauch eines einzelnen Threads zu betrachten (wie in früheren Arbeiten), aggregiert dieses Modell den Energieverbrauch aller 32 Threads eines Warps. Da Threads in einem Warp oft parallel arbeiten und dieselben Gewichte verarbeiten, reduziert dies das Rauschen und verbessert die Korrelation.
  • Higher-Order-Angriff: Das Paper nutzt die Eigenschaft von DNNs aus, dass dasselbe Gewicht in vielen verschiedenen Dot-Produkten (mit unterschiedlichen Eingaben) verwendet wird. Durch die Kombination von Leckagen aus verschiedenen Zeitpunkten (mehrere Intermediate Values) innerhalb eines oder mehrerer Warps wird die Effizienz der Korrelationsanalyse (CPA) drastisch gesteigert.

B. Fernfeld-Angriff (Far Field)

• Setup: Ein Software Defined Radio (SDR) mit einer Vivaldi-Antenne wird verwendet, um elektromagnetische Strahlung von einer Nvidia RTX 4090 aufzunehmen.
• Distanz & Hindernisse: Messungen erfolgen in 25 cm und 100 cm Entfernung, teilweise durch eine Glasplatte als Hindernis.
• Signalverarbeitung: Der Angriff modelliert das Signal als amplitudenmoduliertes Trägersignal, wobei die Gewichtsabhängigkeit in der Amplitude $A(t)$ enthalten ist. Es wird gezeigt, dass der Takt des GPU-Kerns (ca. 2,565 GHz) Gewichtsabhängigkeiten trägt.
• Zielmodell: Ein LLM (Llama 3.2 1B) mit LoRA (Low-Rank Adaptation), das auf Tensor Cores läuft (Instruktion HMMA.1688.F32.BF16).

C. Komplexitätsreduktion

Da ein Tensor-Core-Ergebnis von mehreren Gewichten abhängt (z. B. 8 Gewichte bei BF16), wäre eine naive CPA (128 Bit Komplexität) unmöglich. Die Autoren nutzen eine Strategie, bei der sie die Summe der anderen Gewichte als konstanten Offset behandeln (oder bekannte Gewichte nutzen), um die Komplexität auf ca. 44 Bit pro Gewicht zu senken.

3. Schlüsselbeiträge

1. Erster Angriff auf Tensor Cores: Demonstration der Gewichteextraktion auf den spezialisierten Tensor Core-Einheiten (statt nur CUDA Cores) mittels Nahfeld-SCA.
2. Warp-Level-Leckagemodell: Entwicklung eines präziseren Modells, das den Energieverbrauch ganzer Warps berücksichtigt, was die benötigte Anzahl an Spuren (Traces) im Vergleich zu vorherigen Arbeiten um Größenordnungen reduziert.
3. Higher-Order-Attacken für DNNs: Erste Anwendung von Higher-Order-Angriffen auf neuronale Netze, um Leckagen über mehrere Zeitpunkte hinweg zu kombinieren und so die Konvergenz der Extraktion zu beschleunigen.
4. Fernfeld-Proof-of-Concept: Erster Nachweis, dass Gewichte von LLMs auch im Fernfeld (bis zu 100 cm) und durch Glas hindurch abgegriffen werden können.
5. Quantisierungs-Leckage: Analyse, wie Quantisierungsschemata (z. B. Block-Quantisierung) bereits vor einem Side-Channel-Angriff Informationen über Gewichte preisgeben.

4. Ergebnisse

• Nahfeld (Jetson Orin Nano):
  • Mit dem Warp-Level-Modell konnten Gewichte einer CNN-Schicht mit durchschnittlich 100.000 Spuren extrahiert werden (im Vergleich zu Millionen bei früheren Methoden wie BarraCUDA).
  • Die Kombination von 2 oder 3 Warp-Level-Korrelationen (Higher-Order) reduzierte die benötigten Spuren weiter auf ca. 10.000, um den Schlüssel auf Rang 0 zu bringen.
• Fernfeld (RTX 4090):
  • Es konnte eine signifikante Korrelation zwischen den EM-Signalen und den Gewichten der Matrizen $W_q, W_k, W_v$ nachgewiesen werden.
  • Bei einer Distanz von 100 cm durch Glas war eine Extraktion möglich, wenn 2 Millionen Spuren gesammelt wurden (bei 25 cm ohne Glas reichten 1 Million).
  • Die Angriffe zeigten, dass selbst bei dynamischen Taktänderungen (GPU Boost) die Signale bei der Basisfrequenz (2,565 GHz) lecks enthalten.
  • Die Extraktion von LoRA-Gewichten (nur ein kleiner Teil der Gewichte) wurde als praktikabel demonstriert.

5. Bedeutung und Implikationen

• Sicherheitsrisiko: Die Arbeit zeigt, dass proprietäre DNN-Modelle, selbst wenn sie auf hochmodernen GPUs laufen, anfällig für physikalische Angriffe sind. Dies gilt nicht nur für den direkten Zugriff (Nahfeld), sondern auch für eine realistischere Bedrohungssituation im Fernfeld.
• Architektur-Wissen: Die Ergebnisse unterstreichen, dass die spezifische Architektur von GPUs (Tensor Cores, Warp-Scheduling) für die Entwicklung von Leckagemodellen entscheidend ist. Standardmodelle aus der Kryptographie reichen nicht aus.
• Gegenmaßnahmen:
  • Abschirmung: Da Fernfeld-Angriffe möglich sind, ist eine metallische Abschirmung (Shielding) der effektivste Schutz, da Software-Maßnahmen wie Maskierung im Fernfeld weniger wirksam sind.
  • Quantisierung: Die Autoren warnen davor, dass Quantisierung allein keine Sicherheit bietet und sogar zusätzliche Informationen preisgeben kann.
• Zukunft: Obwohl der Fernfeld-Angriff derzeit noch viele Spuren benötigt und rechenintensiv ist, beweist er das Prinzip. Mit besseren Antennen und Signalverarbeitung könnte dies in Zukunft eine reale Bedrohung für den Schutz von KI-Modellen darstellen.

Zusammenfassend stellt „Kraken" einen Meilenstein in der Side-Channel-Forschung dar, indem es die Grenzen von Modell-Diebstahl von theoretischen Nahfeld-Szenarien zu praktischen Fernfeld-Szenarien auf modernen Hardware-Architekturen erweitert.