Apple Private Cloud Compute – eine neue Grenze für AI-Datenschutz in der Cloud

 (security.apple.com)
1 Punkte von GN⁺ 2024-06-11 | 1 Kommentare | Auf WhatsApp teilen
  • Private Cloud Compute (PCC) ist ein von Apple entwickeltes Cloud-basiertes AI-Verarbeitungssystem mit einer auf Datenschutz ausgerichteten Architektur, das so konzipiert ist, dass personenbezogene Daten selbst für Apple unzugänglich verarbeitet werden
  • Auf Basis von Apple Silicon und einem gehärteten Betriebssystem wird eine zustandslose (stateless) Rechenarchitektur umgesetzt, bei der Nutzerdaten nach der Verarbeitung einer Anfrage sofort gelöscht werden und weder in Logs noch in Debugging-Daten verbleiben
  • Durch die Entfernung von Remote-Shells, Debugging-Tools und allgemeinen Log-Systemen wird Administratorzugriff im laufenden Betrieb grundsätzlich unterbunden; ausführbar ist nur vorab genehmigter Code
  • Durch Verifizierung der Hardware-Lieferkette, OHTTP-Relay und Authentifizierung auf Basis von RSA Blind Signatures wird Nicht-Zielgerichtetheit (non-targetability) erreicht, um Angriffe auf bestimmte Nutzer zu verhindern
  • Alle PCC-Software-Images und Messwerte werden offengelegt, und mit Transparenz-Logs sowie einer virtuellen Forschungsumgebung für Forschende wird nachprüfbare Transparenz (verifiable transparency) sichergestellt

Überblick über Private Cloud Compute

  • PCC ist ein Cloud-AI-System zur Unterstützung fortgeschrittener Funktionen von Apple Intelligence und ermöglicht AI-Berechnungen im großen Maßstab unter der Voraussetzung des Schutzes personenbezogener Daten
  • Es ist der erste Versuch, das Sicherheits- und Datenschutzmodell auf Geräteebene von Apple auf die Cloud auszuweiten; selbst Apple kann nicht auf Nutzerdaten zugreifen
  • Das System besteht aus serverseitiger Hardware auf Basis von Apple Silicon und einem Betriebssystem, das Sicherheitstechnologien aus iOS und macOS neu zusammensetzt, darunter Code Signing, Sandboxing und Secure Enclave

Grenzen bisheriger Cloud-AI

  • Herkömmliche Cloud-AI erfordert den Zugriff auf unverschlüsselte Nutzerdaten und macht damit Ende-zu-Ende-Verschlüsselung unmöglich
  • Probleme sind unter anderem die schwierige Überprüfbarkeit von Sicherheit und Datenschutz, privilegierter Administratorzugriff im Betrieb und mangelnde Software-Transparenz
  • Um diese Grenzen zu überwinden, übernimmt PCC technisch erzwingbare Sicherheitsgarantien (enforceable guarantees) als zentrales Designprinzip

Zentrale Designanforderungen

  • Zustandslose Datenverarbeitung: Nutzerdaten werden nach der Bearbeitung einer Anfrage sofort gelöscht und verbleiben nicht in Logs oder Debugging-Daten
  • Technische Erzwingbarkeit: Sicherheitsgarantien dürfen nicht von externen Komponenten abhängen, sondern müssen vollständig innerhalb des Systems überprüfbar sein
  • Kein privilegierter Zugriff im Betrieb: Administratoren oder Engineers dürfen selbst bei Systemstörungen nicht auf Nutzerdaten zugreifen können
  • Nicht-Zielgerichtetheit (non-targetability): Das System ist so konzipiert, dass Angriffe auf bestimmte Nutzer unmöglich sind
  • Nachprüfbare Transparenz: Forschende müssen die tatsächlich eingesetzte Software mit den veröffentlichten Images abgleichen und verifizieren können

Aufbau der PCC-Knoten

  • Maßgeschneiderte Server-Hardware auf Basis von Apple Silicon bildet die Vertrauensgrundlage und umfasst Technologien wie Secure Boot und Secure Enclave aus dem iPhone
  • Das Betriebssystem ist eine verkleinerte und gehärtete Form der Kernelemente von iOS und macOS und für Workloads zur LLM-Inferenz optimiert
  • Verwendet wird ein Machine-Learning-Stack auf Basis von Swift on Server, um das Apple Foundation Model in der Cloud auszuführen

Zustandslose Verarbeitung und Sicherheitsgarantien

  • Das Nutzergerät verschlüsselt Anfragen mit dem öffentlichen Schlüssel des PCC-Knotens und sendet sie ab; zwischengeschaltete Komponenten können sie nicht entschlüsseln
  • Mit Secure Boot und Code Signing kann nur genehmigter Code ausgeführt werden; das Einschleusen von JIT-Code wird blockiert
  • Die Secure Enclave schützt die Entschlüsselungsschlüssel, und durch Randomisierung der Verschlüsselungsschlüssel beim Neustart wird verhindert, dass Daten zurückbleiben
  • Pointer Authentication Codes, Sandboxing und Speichersicherheit minimieren die Angriffsfläche

Blockierung privilegierter Zugriffe

  • Remote-Shells, Debugging-Tools und Entwickler-Modus wurden vollständig entfernt
  • Es gibt kein allgemeines Log-System; nur vordefinierte strukturierte Audit-Logs können nach außen übertragen werden
  • Dieses Design stellt sicher, dass ein Abfluss von Nutzerdaten auch im Betrieb unmöglich ist

Nicht-Zielgerichtetheit (Non-targetability)

  • Damit Angreifer keine bestimmten Nutzer ins Visier nehmen können, werden Verifizierung der Hardware-Lieferkette und Anfrageverteilung (target diffusion) eingesetzt
    • In der Fertigung erfolgen Inspektionen mit hochauflösenden Bildern und Versiegelung sowie Prüfungen durch externe Beobachter
    • Anfragemetadaten enthalten keine personenbezogenen Identifikationsdaten, die Authentifizierung erfolgt mit RSA Blind Signatures
    • Über OHTTP-Relays werden IP-Adressen anonymisiert
  • Der Load Balancer ist so konzipiert, dass er keine Nutzerinformationen kennt, um ein voreingenommenes Routing zu bestimmten Knoten zu verhindern

Nachprüfbare Transparenz (Verifiable Transparency)

  • Alle Software-Images und Messwerte produktiver PCC-Builds werden offengelegt
  • Die in den Transparenz-Logs verzeichneten Code-Messwerte können von jedem überprüft werden
  • Es werden Tools für Forschende und eine virtuelle Forschungsumgebung (PCC Virtual Research Environment) bereitgestellt
  • Teile des sicherheitskritischen Quellcodes werden veröffentlicht, sepOS und der iBoot-Bootloader werden im Klartext bereitgestellt
  • Über das Programm Apple Security Bounty werden Meldungen zu Schwachstellen vergütet

Ausblick

  • PCC wird als neuer Maßstab für Sicherheitsarchitekturen von Cloud-AI vorgestellt
  • Nach der Veröffentlichung einer Beta-Version sind eine vertiefte technische Analyse und eine stärkere Einbindung von Sicherheitsforschenden geplant
  • Apple will mit PCC eine AI-Infrastruktur etablieren, die den Datenschutz der Nutzer in den Mittelpunkt stellt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-11
Hacker-News-Kommentare

  • Meinung des Kryptografen Matt Green: Matts Einschätzung ist lesenswert. Ein Tweet-Link ist vorhanden.

  • Problematische Zugänglichkeit von Tweets: Es wird gefragt, ob Matt sich bewusst ist, dass man den Tweet ohne X-Konto nicht lesen kann. Vorschlag, stattdessen BlueSky oder Masto zu nutzen.

  • Vertrauensproblem bei Apple: Apple könnte jederzeit per Update eine Hintertür einbauen, und Regierungen könnten dies erzwingen. Fehlende Transparenz untergräbt daher die Vertrauensbotschaft.

  • Datenschutzprobleme in den USA: In den USA kann die Regierung Apple zwingen, Daten offenzulegen, und Apple möglicherweise verbieten, dies publik zu machen. Das ist eine Grenze, die Apple nicht lösen kann.

  • Verbesserung für Forschende: Erstmals werden auf Apple-Plattformen die sepOS-Firmware und der iBoot-Bootloader im Klartext bereitgestellt, sodass Forschende wichtige Komponenten leichter untersuchen können.

  • Die 90-Tage-Lücke: Zwischen der Veröffentlichung verwundbarer Software und ihrer Entdeckung kann eine Lücke von bis zu 90 Tagen liegen. Es wird gehofft, dass echte Images so schnell wie möglich verfügbar sind.

  • Für wen ist das gedacht?: Es wird gefragt, für wen diese Funktion eigentlich gedacht ist. Persönlich würde man die "calls home"-Funktion gern deaktivieren. Man möchte nicht sagen, dass Apple die sicherste Option ist.

  • Swift auf dem Server: Es ist interessant, dass mit Swift auf dem Server ein neuer Machine-Learning-Stack aufgebaut wurde. Ein Link zur Swift-Server-Dokumentation ist vorhanden.

  • Prüfbare Sicherheitsgarantien: Vorsichtiger Optimismus, ob Apple prüfbare Sicherheitsgarantien liefern kann. Wenn das Cloud-OS als Open Source bereitgestellt würde, wäre das sehr wertvoll.

  • Möglichkeiten zur Umgehung: Wenn Apple seine Meinung ändert, könnte es Schlüssel an gefälschte PCC-Knoten zurückgeben und so alle Schutzmechanismen umgehen. Möglich wäre auch, dies nur für bestimmte Nutzer zu tun.

  • Netzwerkzugang der Private Cloud: Es gibt zu wenig Informationen dazu, ob die Private Cloud auf externe Netzwerke zugreifen kann. Wenn kein fehlender Netzwerkzugang garantiert ist, wird die Zusicherung bedeutungslos, dass Anfragen innerhalb der Cloud bleiben.

  • Positive Richtung: Man würde zwar keine sensiblen Daten senden, bewertet Apples Bemühungen und Stoßrichtung aber im Vergleich zum aktuellen Branchentrend positiv.