Apple Private Cloud Compute: Bulut Yapay Zeka Gizliliğinde Yeni Sınır
(security.apple.com)- Apple Intelligence, cihaz üzerinde işlenmesi zor olan istekleri büyük foundation modellere devretmek için Private Cloud Compute(PCC)’yi tanıttı ve bulutta da kişisel verilere erişimi en aza indiren bir tasarımı öne çıkarıyor
- PCC, özelleştirilmiş Apple silicon sunucuları, Secure Enclave, Secure Boot, Code Signing ve sandboxing’i birleştirerek veri merkezine cihaz düzeyinde bir güvenlik modeli getirmeyi amaçlıyor
- Kullanıcı istekleri doğrudan doğrulanmış PCC düğümünün açık anahtarıyla şifreleniyor; yük dengeleyici veya gizlilik ağ geçidi isteği çözmek için gereken anahtara sahip değil
- Operasyonel kolaylık için yaygın kullanılan uzak kabuk, etkileşimli hata ayıklama ve genel amaçlı loglama dışarıda bırakılmış; yalnızca denetlenmiş loglar ve sınırlı metrikler düğüm dışına çıkacak şekilde tasarlanmış
- Apple, üretim yazılım imajları, şeffaflık logları, araştırma ortamı ve Apple Security Bounty aracılığıyla dışarıdan doğrulanabilir bulut yapay zekası oluşturmayı planlıyor
Apple Intelligence buluta taşındığında ortaya çıkan gizlilik sorunu
- Apple Intelligence, iPhone, iPad ve Mac’e üretken model tabanlı kişisel zeka özellikleri sağlayan bir sistemdir
- Daha karmaşık veriler üzerinde akıl yürütmesi gereken gelişmiş özellikler daha büyük foundation modeller gerektirir; Apple bunun için Private Cloud Compute(PCC)’yi geliştirdi
- PCC, kişisel yapay zeka işlemleri için tasarlanmış bir bulut zeka sistemidir ve kullanıcıya ait kişisel verilerin Apple dahil hiç kimseye açığa çıkmamasını hedefler
- Cihaz üzerinde işleme, kullanıcı verilerinin güvenliği ve gizliliği açısından avantajlıdır
- Yalnızca kullanıcının cihazında bulunan veriler merkezi bir saldırı noktasında yer almaz
- En hassas bulut verileri için uçtan uca şifreleme güçlü bir savunma aracıdır
- Uçtan uca şifrelemenin uygun olmadığı bulut servislerinde geçici işleme veya kullanıcı kimliğini belirsizleştiren ilişkisiz rastgele tanımlayıcılar kullanılabilir
Mevcut bulut yapay zeka güvenlik modellerinin sınırları
- Bulut yapay zekası güçlü veri merkezi donanımlarından ve büyük makine öğrenimi modellerinden yararlanabilir, ancak istek ve ilgili kişisel verilere şifrelenmemiş erişim gerektirir
- Bu nedenle yalnızca tam uçtan uca şifrelemeyle işlenemez; mevcut bulut yapay zeka servisleri geleneksel bulut güvenliği yöntemlerine dayanmıştır
- Geleneksel yaklaşımın üç zayıf noktası vardır
- Güvenlik ve gizlilik garantilerini doğrulamak zordur
- Servis belirli kullanıcı verilerini kaydetmediğini söylese bile araştırmacıların bunu doğrulaması zordur
- Yeni bir sürüm hassas verileri yanlışlıkla loglara yazabilir veya TLS’i sonlandıran bir yük dengeleyici sorun giderme sırasında kullanıcı isteklerini toplu halde kaydedebilir
- Çalışma zamanı şeffaflığı sağlamak zordur
- Bulut yapay zeka servisleri genellikle gerçekte çalışan yazılım yığınını açıklamaz
- Yalnızca açık kaynak yazılım kullanılsa bile kullanıcı cihazının veya tarayıcısının servisin yazılımının değiştirilmediğini doğrulaması için yaygın olarak dağıtılmış bir yöntem yoktur
- Güçlü yetkili erişim kısıtlaması zordur
- SRE’ler ve yöneticiler arıza veya ciddi olay durumlarında SSH gibi yüksek yetkili erişimler kullanabilir
- Bir yönetici canlı sunucu verilerini yedeklerken hassas kullanıcı verilerini kopyalayabilir ya da bir suçlu yönetici kimlik bilgilerini ele geçirerek kullanıcı verilerini alabilir
- Güvenlik ve gizlilik garantilerini doğrulamak zordur
PCC’nin beş tasarım gereksinimi
-
Kişisel kullanıcı verileri üzerinde durumsuz hesaplama
- PCC, aldığı kişisel verileri yalnızca kullanıcı isteğini işleme amacıyla kullanmalıdır
- Veriler, Apple çalışanları dahil kullanıcı dışındaki hiç kimseye sunulmamalıdır
- Yanıt döndürüldükten sonra loglama veya hata ayıklama dahil hiçbir biçimde saklanmamalıdır
-
Teknik olarak zorlanabilir garantiler
- Güvenlik ve gizlilik garantileri, tüm sistemin kritik bileşenleri sınırlandırılıp analiz edilebildiğinde en güçlü halindedir
- PCC’nin temel garantileri, TLS sonlandıran yük dengeleyiciler gibi dış bileşenlere bağlı olmamalıdır
- Sunucu metrikleri ve hata loglarının toplanması gibi operasyonel ihtiyaçlar da gizlilik korumasını zayıflatmayacak şekilde desteklenmelidir
-
Ayrıcalıklı çalışma zamanı erişimi yok
- PCC’de, Apple SRE’lerinin arıza müdahalesi sırasında bile gizlilik garantilerini aşmasına izin veren ayrıcalıklı arayüzler olmamalıdır
- Çalışma zamanında ek yazılım yükleyerek ayrıcalıklı erişimin kapsamını genişleten yöntemler de desteklenmemelidir
-
Hedeflenemezlik
- Bir saldırgan belirli bir PCC kullanıcısının kişisel verilerini hedeflemek istiyorsa tüm PCC sistemine yönelik geniş kapsamlı bir ihlal girişiminde bulunmak zorunda kalmalıdır
- Tedarik zincirinde PCC düğümüne fiziksel saldırı yapan veya veri merkezine erişim elde eden saldırganlar bile belirli kullanıcı isteklerini ele geçirilmiş düğümlere yönlendirememelidir
-
Doğrulanabilir şeffaflık
- Güvenlik araştırmacıları, PCC’nin güvenlik ve gizlilik garantilerinin Apple’ın kamuya açık taahhütleriyle örtüştüğünü yüksek güvenle doğrulayabilmelidir
- Araştırmacıların incelediği yazılım ile PCC üretim ortamında çalışan yazılımın aynı olup olmadığı da doğrulanabilmelidir
PCC düğümleri ve güvenlik temeli
- PCC’nin güven kökü, özel olarak tasarlanmış sunucu donanımı olan PCC compute node’dur
- PCC düğümleri, iPhone’da kullanılan donanım güvenliği teknolojilerini veri merkezine taşır
- İşletim sistemi, LLM çıkarım iş yüklerine göre uyarlanmış iOS ve macOS tabanlı güçlendirilmiş bir alt kümedir
- Saldırı yüzeyini dar tutacak şekilde tasarlanmıştır
- Code Signing ve sandboxing gibi iOS güvenlik teknolojilerinden yararlanır
- Apple, veri merkezi yönetiminde genellikle kritik olan bileşenleri PCC düğümünden çıkarır
- Uzak kabuk
- Sistem içini gözlemleme ve genel amaçlı gözlemlenebilirlik araçları
- Bunun yerine SRE çalışanlarına küçük ve sınırlı operasyonel metrikleri belirleyici biçimde sağlayan amaca özel bileşenler kullanır
- Swift on Server ile bulut tabanlı foundation modelleri barındırmak için yeni bir makine öğrenimi yığını oluşturuldu
Kullanıcı isteklerinin işlenmesi ve veri saklamanın önlenmesi
- PCC, kullanıcı isteğinin verilerini model çıkarımı için kullanmak zorunda olduğundan yalnızca tam uçtan uca şifrelemeyle tasarlanamaz
- Bunun yerine PCC compute node, işleme sırasında kullanıcı verisi gizliliğini teknik olarak zorunlu kılar ve iş döngüsü bittiğinde verilerin saklanamamasını sağlar
- PCC’nin kullanıcı verisi işleme garantileri üç tanedir
- Kullanıcı cihazı verileri PCC’ye yalnızca çıkarım isteğini işlemek amacıyla gönderir
- Kullanıcı verisi, yanıt döndürülene kadar yalnızca isteği işleyen PCC düğümünde kalır
- Kullanıcı verisi, üretim servisine veya donanıma yönetici erişimi olan Apple çalışanlarına bile sunulmaz
- Apple Intelligence PCC kullandığında cihaz, prompt, istenen model ve çıkarım parametrelerinden oluşan bir istek oluşturur
- Cihazdaki PCC istemcisi önce isteği, doğrulanmış ve kriptografik olarak kimliği kanıtlanmış PCC düğümünün açık anahtarıyla doğrudan şifreler
- Kullanıcı cihazından doğrulanmış PCC düğümüne kadar uçtan uca şifreleme sağlanır
- Yük dengeleyiciler ve gizlilik ağ geçitleri gibi yardımcı veri merkezi servisleri güven sınırının dışındadır ve isteği çözmek için gereken anahtara sahip değildir
- PCC düğümü, Secure Boot ve Code Signing ile yalnızca onaylanmış ve kriptografik olarak ölçülmüş kodu çalıştırabilir
- Çalıştırılabilir tüm kodlar Apple tarafından imzalanmalı ve belirli PCC düğümü için onaylanmış trust cache içinde yer almalıdır
- Trust cache, Secure Enclave tarafından yüklenir ve çalışma zamanında değiştirilemez veya ekleme yapılamaz
- JIT eşlemeleri oluşturulamadığı için çalışma zamanında kod derleme veya enjeksiyon engellenir
- Kod ve model varlıkları, Signed System Volume için kullanılanlarla aynı bütünlük korumalarını kullanır
- Secure Enclave, istek şifre çözme anahtarının kopyalanamamasını veya dışarı çıkarılamamasını zorunlu kılar
- Veri saklamayı önlemek için Secure Enclave her yeniden başlatmada veri birimi şifreleme anahtarını rastgeleleştirir ve bu anahtarı kalıcı olarak saklamaz
- PCC düğümünün Secure Enclave Processor’ı her yeniden başlatıldığında veri birimi kriptografik olarak silinir
- Çıkarım süreci, istek tamamlandığında ilgili verileri siler
- Kullanıcı verilerini işlemiş adres alanları, beklenmedik şekilde bellekte kalan verilerin etkisini azaltmak için periyodik olarak yeniden kullanıma alınır
- Pointer Authentication Codes ve sandboxing, garantileri aşmayı hedefleyen exploit’leri zorlaştırır ve PCC düğümü içindeki yatay hareketi sınırlar
- Çıkarım kontrol ve dispatch katmanı Swift ile yazılmıştır; böylece bellek güvenliği sağlanır ve isteğin ilk işlenmesi ayrı bir adres alanına ayrılır
Ayrıcalıklı çalışma zamanı erişiminin kaldırılması
- PCC düğümleri uzak kabuk veya etkileşimli hata ayıklama mekanizmaları içermez
- Code Signing ek kod yüklenmesini engeller, ancak Apple bu tür açık uçlu erişimin kendisini sistem güvenliği ve gizliliğini aşabilecek geniş bir saldırı yüzeyi olarak görür
- PCC düğümlerinde Developer Mode etkinleştirilemez ve hata ayıklama iş akışları için gereken araçlar da bulunmaz
- Gözlemlenebilirlik ve yönetim araçları, kullanıcı verilerinin açığa çıkmasını önleyen gizlilik korumaları içerir
- Genel amaçlı loglama mekanizması yoktur
- Yalnızca önceden belirlenmiş, yapılandırılmış ve denetlenmiş loglar ile metrikler düğüm dışına çıkabilir
- Bu mekanizmalar üzerinden kullanıcı verilerinin kazara açığa çıkmasını önlemek için birden fazla bağımsız inceleme katmanı kullanılır
- Bu tasarım, yalnızca belirlenmiş kodun kullanıcı verilerine erişmesini ve sistem yönetimi sırasında kullanıcı verilerinin PCC düğümünden dışarı sızmamasını zorunlu kılınabilir garantilerle sağlar
Hedeflenemezlik ve donanım saldırılarına karşı önlemler
- PCC’nin tehdit modeli, compute node’a fiziksel olarak erişebilen ve sistemin bazı donanım güvenliği özelliklerini aşarak işlenmekte olan verileri çıkarabilen gelişmiş saldırganları kapsar
- Apple iki yöntemle savunma yapar
- PCC donanımına güçlendirilmiş bir tedarik zinciri uygulayarak büyük ölçekli donanım saldırılarını çok pahalı ve tespit edilebilir hale getirir
- Küçük ölçekli saldırıların belirli kullanıcı verilerini hedeflemek için kullanılamamasını sağlar
- PCC donanım güvenliği üretim aşamasında başlar
- Sunucu mühürlenip kurcalama anahtarı etkinleştirilmeden önce PCC düğümü bileşenleri envantere alınır ve yüksek çözünürlüklü görüntüleme yapılır
- Veri merkezine ulaştıktan sonra, PCC provizyonlamasından önce kapsamlı yeniden doğrulama yapılır
- Birden fazla Apple ekibi bağımsız kaynaklardan gelen verileri çapraz kontrol eder; Apple ile ilişkisi olmayan üçüncü taraf gözlemciler de süreci ayrıca izler
- Her PCC düğümüne Secure Enclave UID köküne dayanan bir anahtar sertifikası verilir
- Kullanıcı cihazları, sertifikasını doğrulayamadığı PCC düğümlerine veri göndermez
- Daha küçük ve sofistike saldırıları önlemek için PCC hedef yayılımı(target diffusion) yaklaşımını kullanır
- İstek meta verileri, kaynak cihaz veya kullanıcıya ilişkin kişisel tanımlayıcı bilgi içermez
- Yalnızca uygun modele yönlendirme için gereken sınırlı istek bağlamı verilerini içerir
- Yalnızca bu meta veriler PCC güven sınırı dışındaki yük dengeleyicilere ve veri merkezi bileşenlerine sunulur
- Meta veriler, isteği belirli bir kullanıcıyla ilişkilendirmeden geçerli istekleri yetkilendirmek için RSA Blind Signatures tabanlı tek kullanımlık kimlik bilgileri içerir
- PCC istekleri, üçüncü taraf tarafından işletilen bir OHTTP relay üzerinden geçer
- İstek PCC altyapısına ulaşmadan önce cihazın kaynak IP adresini gizler
- Saldırganın isteği IP adresiyle tanımlamasını veya bir kişiyle ilişkilendirmesini engeller
- Kaynak IP tabanlı trafik yönlendirmesi için hem üçüncü taraf relay’in hem de Apple yük dengeleyicisinin ele geçirilmesi gerekir
- Kullanıcı cihazları istekleri tüm PCC servisi için değil, yalnızca PCC düğümlerinin bir alt kümesi için şifreler
- Yük dengeleyici, isteği işlemeye hazır olma olasılığı yüksek düğümlerin alt kümesini döndürür
- Yük dengeleyici kullanıcı veya cihaz tanımlayıcı bilgisine sahip olmadığından belirli bir kullanıcı için kümeyi yanlı hale getiremez
- Tek bir düğüm ele geçirilse bile gelen isteklerin yalnızca küçük bir bölümünü çözebilir
- Yük dengeleyicinin seçtiği PCC düğüm kümesi istatistiksel olarak denetlenebilir
Doğrulanabilir şeffaflık ve araştırmacı erişimi
- Apple, PCC’ye yönelik kamusal güven için güvenlik araştırmacılarının uçtan uca güvenlik ve gizlilik garantilerini doğrulayabilmesi gerektiğini düşünüyor
- PCC kullanıma çıktığında tüm üretim build’lerinin yazılım imajlarını güvenlik araştırması amacıyla yayımlamayı planlıyor
- Kullanıcı cihazları, yalnızca kamuya açık olarak listelenmiş yazılım çalıştırdığını kriptografik olarak kanıtlayabilen PCC düğümlerine veri gönderecek şekilde tasarlanmıştır
- Apple’ın doğrulanabilir şeffaflık planı şunları içerir
- PCC’de çalışan tüm kodların ölçümlerini, yalnızca ekleme yapılabilen kriptografik olarak kurcalamaya dayanıklı bir şeffaflık loguna yayımlamak
- Logu ve ilgili ikili yazılım imajlarını gizlilik ve güvenlik uzmanlarının inceleyip doğrulayabileceği şekilde yayımlamak
- PCC düğüm yazılımı analizi için resmi araç setini yayımlamak ve sürdürmek
- Apple Security Bounty aracılığıyla önemli araştırma sonuçlarını ödüllendirmek
- Tüm üretim PCC yazılım imajları bağımsız ikili inceleme için yayımlanır
- OS, uygulamalar ve ilgili yürütülebilir dosyalar dahildir
- Araştırmacılar bunları şeffaflık logundaki ölçümlerle karşılaştırarak doğrulayabilir
- Yazılım, loga dahil edildikten sonraki 90 gün içinde veya ilgili yazılım güncellemesi sağlandıktan sonra, hangisi daha erken ise o tarihte yayımlanır
- Bir release loga imzalı olarak girdikten sonra tespit edilmeden kaldırılamaz
- Kullanıcı cihazları, yalnızca PCC düğümünün kanıtlanmış ölçümleri kamuya açık şeffaflık logundaki yazılım release’iyle eşleştiğinde istek payload anahtarını ilgili düğümün açık anahtarıyla sarar
- Code Signing onaysız yazılımların yüklenmesini engeller ve PCC düğümündeki tüm kodların kanıta dahil edilmesini sağlar
PCC araştırma ortamı ve ödül programı
- Apple, araştırmacıların PCC gizlilik vaatlerini hızla doğrulayıp sorunları bulabilmesi için üç ek adım planlıyor
- PCC Virtual Research Environment’ın yayımlanması
- Apple silicon bulunan Mac’lerde PCC düğümünü simüle eden araç ve imaj seti
- Sanallaştırmanın başarılı olması için en az düzeyde değiştirilmiş bir PCC yazılım sürümü boot edilebilir
- Tüm üretim PCC build’lerinin ikili imajlarından ayrı olarak, güvenlik açısından önemli bazı PCC kaynak kodlarının periyodik olarak yayımlanması
- Apple platformlarında ilk kez PCC imajlarına sepOS firmware’i ve iBoot bootloader’ın düz metin olarak dahil edilmesi
- PCC Virtual Research Environment’ın yayımlanması
- Apple Security Bounty, tüm PCC yazılım yığınına ilişkin araştırma sonuçlarını ödüllendirir
- PCC’nin gizlilik vaatlerini zayıflatan sorunlara özellikle büyük ödüller verilmesi planlanıyor
Daha sonra açıklanacaklar
- PCC; durumsuz hesaplama, zorunlu kılınabilir garantiler, ayrıcalıklı erişimin olmaması, hedeflenemezlik ve doğrulanabilir şeffaflık gereksinimlerini karşılayacak şekilde tasarlanmıştır
- PCC beta olarak sunulduktan sonra daha derin teknik açıklamalar gelecek
- Gelecekte her temel gereksinimin uygulanışı ve işleyişine ilişkin ek teknik ayrıntılar paylaşılması planlanıyor
- Apple, güvenlik araştırmacılarına PCC yazılımını ve PCC Virtual Research Environment’ı yakında ilk kez sunacak
1 yorum
Hacker News yorumları
Buluta ya da internete bağlanan her şeyde, açık kaynak olmadığı ve sunucu merkeziyetsiz olmadığı sürece eninde sonunda birine güvenmek zorundasınız.
Apple, kendileri dışında kimsenin verilere erişememesi için elinden geleni yapabilir; ama tüm uç noktaları, iPhone güncellemelerini ve sunucuları Apple kontrol ediyor.
“Web tabanlı kriptografi her zaman dolandırıcılıktır” yazısı aklıma geliyor: https://www.devever.net/~hl/webcrypto
Yerelde depolanan verilere bile Apple isterse erişebilecek güce sahip; bir devlet emri olursa bunu yapabilir de. Bu yüzden “özel” denmesi, daha fazla tarafın değil, yalnızca Apple’ın bilebileceği anlamına daha yakın bence.
Alternatiflerin veriyi daha çok yere sızdırabilmesi açısından bu daha iyi; ama pazarlanırken anlatıldığı gibi kırılmaz bir şifrelemeden çok uzak.
Google’ın reklam, öneri, yapay zeka vb. için kullanıcıları izlediği açık; bunu saklamıyor da ve bu iş modelinin özü.
Buna karşılık Apple, bu yapay zeka sisteminde çalışanların kullanıcı verilerine erişmesini engellemek için epey ciddi çaba göstermiş; günlüklemeyi ve gözlemlenebilirliği güçlü biçimde sınırlıyor, kendi çipini ve işletim sistemini bile tasarlıyor.
İstemcinin denetlenmemiş sistemlerle iletişim kurmamasını sağlamak da büyük bir fark.
Apple’ın sözünü olduğu gibi kabul edemeyiz, ama üçüncü taraf denetiminin bu sistemin gizliliğine güvenmek ve onu doğrulamak için kilit olduğunu düşünüyorum.
“Apple ne yaptığını biliyor” sözü, Apple içinde birilerinin cihazdan özel buluta giden verilere erişebildiği imasını taşıyor; ama bu doğru gibi görünmüyor.
Apple’ın iş modelinde gizliliğin önemli bir eksen olması da güven unsurlarından biri. Apple, başka yollarla para kazanan ürünler yaparak finansal olarak başarılı oldu; veri satma yönüne gitmesi ne gerekli ne de iyi bir iş fikri.
Üçüncü taraf doğrulaması yapılana kadar şüpheci olmak makul; fakat Apple’ın yaklaşımının veri ve gizlilik açısından OpenAI ya da Google’dan daha iyi olmadığını söylemek haksızlık.
İnsanlar kendi sunucularını çalıştıramıyorsa, herkese açık depodaki kodun gerçek bulut sunucusunda çalışan kodla aynı olup olmadığını bilemezler; bu yüzden tek başına açık kaynak yeterli değil.
Elbette doğrulama işi gerekir, ama yine de büyük bir ilerleme.
Bana göre alternatifler dağınık ve odakları zayıf, bu yüzden Apple’a güvenirim.
Kriptograf Matt Green’in güzel bir yorumu burada: https://x.com/matthew_d_green/status/1800291897245835616?t=C...
Matt, X hesabı olmadan tweet’lerin okunamadığını biliyor mu bilmiyorum. BlueSky ya da Mastodon kullansa iyi olurdu.
Birleştirilmiş thread: https://threadreaderapp.com/thread/1800291897245835616.html?...
“Blog yazısında muhtemelen yaklaşık 6 teknik ayrıntı daha var. Çok özenli bir tasarım. Harika bir ekibe büyük para verip dünyanın en iyi ‘özel’ bulutunu yapmalarını isteseydiniz, muhtemelen böyle görünürdü.”
“Elbette süper casusların en büyük düşman olmadığını hatırlamak gerekir. Pek çok kişi için en büyük düşman, cihazı ve yazılımı satan şirkettir. Bu PCC sistemi, Apple’ın kullanıcı verilerine ‘bakmayacağına’ dair gerçek bir taahhüdü temsil ediyor. Bunun büyük anlamı var.”
Verinin cihazın içinde kalmasını tercih ederim; ama en azından bu doğru yönde büyük bir taahhüt, ya da belki yanlış yönde olsa bile rakiplerden çok daha iyi yapılmış bir şey.
Yapay zeka özelliklerinin tamamını, yani hem cihaz üzerinde hem cihaz dışında çalışanları kapatma seçeneğinin olacağını tahmin ediyorum.
Bir cihaz üreticisinin yalnızca cihaz üzeri yapay zeka seçeneği sunmaması için bir sebep var mı? iOS 17’nin yapay zeka özellikleri şu anda iCloud olmadan da kullanılabiliyor.
Apple’ın
*.pcc.apple.comgibi benzersiz bir alan adı kullanıp ağ düzeyinde filtrelemeye imkân vermesi iyi olurdu.Baştan sona okusanız da sonuçta “bize güvenin” noktasına geliyor. Apple istediği zaman arka kapı içeren bir güncellemeyi imzalayıp onaylayabilir; hükümet de tek bir imzayla Apple’ı buna zorlayabilir ve bunların hepsi sessizce ilerleyebilir.
Apple’ın yaptıklarının avantajları olduğunu anlıyorum. Ama güven satıyorsanız %100 doğru olmanız gerekir; veriye bu şekilde erişim ihtimalinin hâlâ bulunduğunu şeffaf biçimde açıklamazsanız tüm mesaj kirlenir.
İşletim sistemini yapan insanlara güvenemiyorsanız, cihaz dışı yapay zeka işlemeyi dert etmekten çok daha derin bir sorununuz var demektir.
Apple tek bir düğmeyle iPhone’un istediği verileri sunucuya yüklemesini sağlayabilir. Bu mantıkla, yerelde çalışan yapay zeka dahil hiçbir şeye güvenmemek gerekir. Muhtemelen doğru ama pratik değil.
Matthew Green’in ileti dizisinin son kısmı bunu iyi özetliyor: “Mükemmel bazen çok iyinin önüne geçer. Gerçekte cihaz üzerindeki alternatif, hassas verileri OpenAI’a ya da daha şüpheli yerlere göndermektir. Pek çok kişi için en büyük düşman, cihazı ve yazılımı satan şirkettir. PCC, Apple’ın verileri ‘incelemeyeceğine’ dair gerçek bir taahhüttür ve bu büyük bir şey. Artık telefonun bir kısmının 2.000 mil uzaktaki bir veri merkezinde yaşadığı bir dünyaya gidiyoruz; bu yüzden güvenlik tarafındaki insanların da buna alışması ve her parçayı olabildiğince güvenli hâle getirmesi gerekiyor.”
Son derece ilginç. Apple’ın Private Cloud Compute’u, meslektaşlarımla 6 yıl önce başlattığımız açık kaynak proje System Transparency ile kavramsal olarak aynı görünüyor.
Daha fazla teknik ayrıntı bekliyorum. Apple’dan biri bunu görürse stromberg@mullvad.net üzerinden iletişime geçebilir. Bizim tasarımımızla Apple’ın tasarımını tartışabilir ya da geri bildirim verebiliriz.
İlgili bağlantılar: https://mullvad.net/en/blog/system-transparency-future
http://system-transparency.org
http://sigsum.org
Apple’ın yaptığı şey gizli bilişim. Uygulama örneklerine bakarsanız daha fazla teknik ayrıntıyı anlayabilirsiniz.
Apple, Confidential Computing Consortium üyesi değil ama ARM üye.
Güvenilir bilişim konusunda da oldukça iyimserim; ivme artıyor gibi görünüyor.
Daha açık olup tüm yığını kontrol edebilmek ve donanım platformuna kendi kök sertifikamızı ya da anahtarımızı kurabilmek iyi olurdu; yine de birçok fayda sağlayabilir.
Apple bunu ana akıma iterse benimsenmenin daha da artmasını bekliyorum.
“Apple platformunda ilk kez PCC imajları, sepOS firmware’ini ve iBoot bootloader’ını düz metin olarak içeriyor; böylece araştırmacılar bu temel bileşenleri her zamankinden daha kolay inceleyebiliyor” kısmı çok iyi.
Ancak “yazılım, log’a eklendikten sonraki 90 gün içinde ya da ilgili yazılım güncellemesi sunulduktan sonra, hangisi daha erken gerçekleşirse o zaman yayımlanır” kısmı, teoride savunmasız yazılımın yayımlanması ile keşfedilebilirliği arasında en fazla 90 günlük bir boşluk bırakıyor.
Gerçek imaj sunumunun bu üst sınıra kıyasla çok daha anlık olmasını umuyorum.
ABD’de tam mahremiyet mümkün değil. Çünkü hükümet Apple’ı içini açıp göstermeye zorlayabileceği gibi, bu gerçeği söylemesini de engelleyebilir.
Apple’ın bu “kısıtı” aşmasının fiilen bir yolu yok. Fırsatınız olursa PATRIOT Act uzatmasına evet oyu veren “temsilcinize” teşekkür edebilirsiniz.
Gelen isteklerden veri toplamak için hükümetin talep ettiği türden gerçek zamanlı dinleme gibi bir şey gerekir; bu da farklı bir durum olabilir.
Elbette ben internetteki sıradan bir kişiyim; sadece bu endişeye karşı aklıma gelen karşı argümanı düşündüm, doğru yönde miyim onu da bilmiyorum.
Hükümet veri talep edebilir. Ama Apple’ın sistemi, Apple bunu söyleyemese bile böyle bir müdahaleyi kamuya görünür hâle getirecektir.
Bir National Security Letter ile bile artık var olmayan veri talep edilemez.
Büyük bir soru var. Bu kimin için?
Yanlış anlaşılmasın, bu harika bir çaba ve A+ seviyesinde nerd işi. Benim dilimden konuşan bir şey
Ama ben muhtemelen sadece eve telefon etme özelliğini kapatmanın yolunu arardım. Çünkü en başta böyle bir davranış istemiyorum
Bu, başkalarına “Apple en güvenli seçenek” dememi sağlamak için mi? Linux önermek istemem. Çünkü teknik destek vermek istemiyorum
Artık “verilerimden elinizi çekin” diye bağıran yaşlı birine dönüşmüş gibi hissediyorum
Microsoft’un yapay zeka çabalarıyla ilgili manşetler genelde kâbusa yakındı ve çok kötü haber vardı
Apple yapay zekasıyla ilgili haberler güvenlik ve gizliliği neredeyse abartılı biçimde önemsedikleri yönünde olursa, insanların kullanırken biraz daha içi rahat edebilir
OpenAI ürünlerini çok kullanmıyorum ama kullanacak olsam, doğrudan OpenAI’ye gitmektense Apple’ın anonimleştirme katmanı üzerinden kullanmayı tercih ederim
Apple’ın da yapay zeka odaklı bir şirket olabileceğini göstermesi gerekiyor. Sadece Apple’da gizliliği korumaya dönük bir kurum kültürü var
Devletin verilere erişmesi umurumda değil. Ama dolandırıcılar, yabancı devletler, reklam teknolojisi şirketleri, sigorta şirketleri gibi kötü niyetli aktörlerin kişisel verilerime erişmesini istemiyorum
Aynı zamanda LLM’lerin yeteneklerini de kullanmak istiyorum. Bu kadar gerçek dışı bir talep mi?
Gerçekçi olmak gerekirse ABD hükümetinin zaten tüm verilerime sahip olduğunu varsayıyorum. Mevcut durum hoşuma gitmiyor ama gerçek bu
Aslında iPhone ölçeğinde LLM ve bulut altyapısı hazırdı ve bu sadece 2 yıllık bir iş değil
Apple, kendisinden beklendiği gibi gizliliği vurguluyor
Gemini de gizlilik iddiasında bulunabilir ama doğruysa insanların bunun performansı düşüreceğini düşüneceği muhtemel
Apple’ın kısaca değindiği AWS Nitro Enclaves ile nasıl karşılaştırıldığını merak ediyorum
Ana fark, firmware seviyesine kadar doğrulanabilir olması gibi görünüyor
Nitro Enclaves firmware[0] ya da hypervisor ölçümlerini sağlamıyor ve hypervisor kodunun herhangi bir zamanda şeffaf biçimde güncellenebileceğini söylüyor[1]
Apple, Secure Enclave Processor işletim sistemi olan sepOS’u ve bootloader imajlarını sağlayacak
Blog yazısı çok net değil ama bu bileşenlerin kaynak kodunu da sağlayacakmış gibi geliyor
[0]: https://docs.aws.amazon.com/enclaves/latest/user/set-up-atte...
[1]: https://docs.aws.amazon.com/pdfs/whitepapers/latest/security...
Otomatik olarak çağrı tetiklenir ve güvenlik ekibinin de devreye girme ihtimali yüksektir
EC2’de hypervisor firmware olmadığı için hypervisor firmware’ini ölçmek için bir neden yok
Anakartın BIOS/UEFI firmware’i değiştirilirse üzerine yazılır
Hypervisor kodu, tüm kodlar gibi her zaman imzalıdır ve Nitro kartı tarafından ölçümlü boot veya güvenli boot kullanan doğrulanabilir bir güvenlik sistemi üzerinden sunucuya stream edilir
Müşteri-facing terim olan “Nitro enclaves”in tam olarak ne anlama geldiğini bilmiyorum ama EC2 mühendisleri en ufak bir güvenlik riski gördüklerinde bile çağrıyla ordu gibi harekete geçer
Bu temel konuların hepsi ele alınmış durumda; core dump’lara gerçek müşteri verisinin şifreli biçimde bile girmemesini garanti edecek seviyeye kadar gidiliyor
Bu işletim sistemini gerçekten görmek istiyorum ve büyük bir teknoloji şirketinin gerçekten denetlenebilir güvenlik garantileri sunduğu ilk örnek olabileceği için temkinli biçimde iyimserim.
Gidişata bağlı olarak Apple, kullanıcıların zaten duyduğu güvenin bir kısmını gerçekten hak edebilir; bu da oldukça harika olur.
Daha da harika olan, tüm yönetim zinciri için denetim sunması olurdu; bunun için de yığının diğer bazı parçalarını da açması gerekecek gibi görünüyor.
Özellikle vaat edildiği gibi bulut işletim sistemi açık kaynak olursa muazzam değer taşır.
Şu anki başlıca endişe, gerçek dağıtımda sanallaştırma kullanılırsa kullanıcı cihazında çalışan hâlâ kapalı kaynak işletim sistemi kısmındaki Secure Enclave’in anahtarları devretmesi ve denetlemediğimiz hipervizörde konteynere erişen bir arka kapı bulunabilmesi.
Güvenlik uzmanlığı daha yüksek olan kişiler daha iyi sorular soracaktır.
Apple araştırmacı geri bildirimlerine yanıt verirse bu araç zincirinin daha fazla bölümü denetlenebilir hâle gelebilir.
Apple’ın onayladığı kullanım senaryolarının güvenliğini doğrulayamasak bile, bu bulut işletim sistemi güvenlik akıl yürütmesi ve güvenli bulut açısından büyük bir ilerleme olabilir; insanlar bunu bağımsız olarak barındırabilir veya türevlerini oluşturabilir.
En kötü durum Apple’ın bunu fiilen yapmaması olur; ama en azından bu sözü tutma ihtimali epey yüksek görünüyor. O zaman en kötü durumda bile “büyük ölçekli güvenli bilişim için çok yararlı bir açık kaynak kod tabanı ortaya çıktı” denir; diğer kısımlar nasıl olursa olsun bu iyi bir şeydir.
[0] https://docs.aws.amazon.com/enclaves/latest/user/nitro-encla...
Asahi Linux’ta cihaz üzeri önyükleme zinciri güvenliğine dair iyi bir genel bakış var: https://github.com/AsahiLinux/docs/wiki/Apple-Platform-Secur...
“PCC Virtual Research Environment’ı yayımlayacağız. Bu, Apple silicon Mac’lerde PCC düğümlerini simüle etmeye ve sanallaştırmanın başarılı olması için asgari düzeyde değiştirilmiş PCC yazılım sürümünü önyüklemeye yarayan araç ve imaj setidir” ifadesi, PCC düğümünün bare metal olduğu anlamına geliyor gibi görünüyor.
M4 Apple Silicon bulunan iPad Pro’da da PCC düğümleri simüle edilebilir mi?
“Son olarak, Swift on Server kullanarak bulut tabanlı foundation model barındırma için yeni bir makine öğrenimi yığını oluşturduk” kısmı ilginç.
Burada Swift on Server’ın ortaya çıkması dikkat çekici: https://www.swift.org/documentation/server/