Methods for Security and Functional Safety in Reconfigurable AI Accelerators

Neuronale Netzwerkbeschleuniger, die auf Field-Programmable Gate Arrays (FPGAs) implementiert werden, ermöglichen latenzarme und energieeffiziente Inferenz in Cloud-, Edge- und eingebetteten Systemen. Gleichzeitig macht ihre Bereitstellung in gemeinsam genutzten und potenziell adversariellen Umgebungen sie anfällig für physikalische Seitenkanäle, insbesondere durch datenabhängigen Energieverbrauch. Diese Dissertation untersucht solche Seitenkanäle in realistischen FPGA-basierten Beschleunigern für neuronale Netzwerke und zeigt, dass ihnen eine doppelte Rolle zukommt: Sie stellen ein Sicherheitsrisiko dar, bieten zugleich jedoch wertvolle Beobachtbarkeit für Monitoring und funktionale Sicherheit.
... mehr

Zunächst demonstriert die Arbeit praktische Seitenkanalangriffe auf realistische Beschleunigerimplementierungen. Es wird gezeigt, dass architektonische Eigenschaften wie Folding aus Leistungsmessungen rückentwickelt werden können und dass private Eingaben, einschließlich Bild- und Audiosignalen, mithilfe generativer Modelle direkt aus integrierten Spannungsschwankungen rekonstruiert werden können. Diese Angriffe bleiben auch unter variierenden Betriebsbedingungen und über verschiedene Hardwareinstanzen hinweg wirksam.

Darüber hinaus zeigt die Dissertation, dass sich Seitenkanal-Informationen bereits während des Trainings gezielt verstärken und manipulieren lassen. Durch die Einbeziehung hardwarebewusster Optimierungsziele kann die Korrelation zwischen Berechnung und beobachtbarem Energieverbrauch erhöht werden, sodass eine passive Rekonstruktion von Ausgabelabels ohne Änderungen an der Hardware möglich wird. Weiterhin untersucht die Arbeit bösartige Gewichtsmanipulationen im föderierten Lernen und zeigt, dass gezielt erzeugte Updates den Energieverbrauch erhöhen und die Effizienz verschlechtern können, während die funktionale Genauigkeit weitgehend erhalten bleibt.

Darüber hinaus untersucht die Dissertation defensive Nutzungen von Seitenkanalinformationen. Sie stellt seitenkanalbewusste Trainingsverfahren zur Reduktion von Seitenkanälen sowie eine leistungsbasierte Fingerprinting-Methode zur entfernten Modellidentifikation vor. Abschließend wird gezeigt, dass integrierte Spannungssensoren zur nebenläufigen Erkennung von Out-of-Distribution-Eingaben und Hardwarefehlern während der Inferenz mit minimalem Overhead eingesetzt werden können.

Insgesamt zeigt diese Arbeit, dass Seitenkanäle eine grundlegende Eigenschaft rekonfigurierbarer KI-Beschleuniger darstellen, die systematisch berücksichtigt werden muss. Während sie Vertraulichkeit und Integrität gefährden, können sie zugleich als Monitoring-Schnittstelle genutzt werden, um die Sicherheit, Robustheit und funktionale Sicherheit FPGA-basierter KI-Systeme zu verbessern.

Neural network accelerators implemented on field-programmable gate arrays (FPGAs) enable low-latency and energy-efficient inference in cloud, edge, and embedded systems. At the same time, their deployment in shared and potentially adversarial environments exposes them to physical side-channel leakage, especially through data-dependent power consumption. This thesis investigates such leakage in realistic FPGA-based neural network accelerators and shows that it has a dual role: it poses security risks, but also provides valuable observability for monitoring and functional safety.
... mehr

First, the thesis demonstrates practical side-channel attacks against realistic accelerator implementations. It shows that architectural properties such as folding can be reverse-engineered from power traces and that private inputs, including images and audio signals, can be reconstructed directly from on-chip voltage fluctuations using generative models. These attacks remain effective across varying operating conditions and hardware instances.

Second, the thesis shows that side-channel leakage can be amplified and manipulated during training. By incorporating hardware-aware objectives, the correlation between computation and observable power consumption can be strengthened, enabling passive recovery of output labels without modifying the hardware. The work further explores malicious weight manipulation in federated learning, showing that crafted updates can increase power consumption and degrade efficiency while largely preserving functional accuracy.

Third, the thesis investigates defensive uses of side-channel information. It introduces side-channel-aware training methods to reduce leakage and a power-based fingerprinting technique for remote model identification. Finally, it demonstrates that on-chip voltage sensors can be used for concurrent detection of out-of-distribution inputs and hardware faults during inference with minimal overhead.

Overall, this work establishes side-channel leakage as a fundamental property of reconfigurable AI accelerators that must be considered systematically. While it threatens confidentiality and integrity, it can also be exploited as a monitoring interface to improve the security, robustness, and functional safety of FPGA-based AI systems.