Edge-AI ve Donanım Güvenliği: Derin Öğrenme Modellerinin FPGA Üzerinde RO-PUF ile Şifrelenmesi

Giriş ve Problem Tanımı (Edge-AI’da Model Hırsızlığı)

Yapay zeka ekosistemindeki güvenlik tartışmaları çoğunlukla yazılım katmanına, özellikle de Büyük Dil Modelleri (LLM) üzerindeki komut enjeksiyonları (prompt injection), veri zehirleme (data poisoning) veya API manipülasyonlarına odaklanmaktadır. Ancak şunu biliyor muydun? Uç cihazlarda (Edge-AI) çalışan, otonom araçlardan endüstriyel IoT sistemlerine kadar geniş bir yelpazeye yayılan derin öğrenme modelleri, çok daha somut ve yıkıcı bir tehdit vektörüyle karşı karşıyadır: Fiziksel Model Hırsızlığı (Model Theft) ve Fikri Mülkiyet (IP) Korsanlığı.

Milyonlarca dolarlık Ar-Ge bütçeleri ve devasa veri setleriyle eğitilmiş sinir ağı modellerinin (ağırlıklar, bias değerleri ve hiperparametreler) uç cihazlara dağıtılması, bu modelleri tersine mühendislik saldırılarına açık hale getirir. Geleneksel sistemlerde, bu ağırlıkları korumak için şifreleme anahtarları cihaz üzerindeki Kalıcı Belleklerde (Non-Volatile Memory - NVM) saklanır (örneğin EEPROM veya eFlash).

Ancak NVM tabanlı statik anahtar saklama yöntemleri, donanım seviyesindeki saldırılara karşı savunmasızdır. Saldırganlar, çipi asitle açarak (decapping) Odaklanmış İyon Demeti (FIB) ile doğrudan bellek hücrelerine mikroskobik problar bağlayabilir veya Diferansiyel Güç Analizi (DPA) gibi yan kanal saldırılarıyla (side-channel attacks) kriptografik anahtarı bellekten okunurken ele geçirebilir. Bu senaryoda donanım, yazılımın güvenliğini sağlayacak bir kale olmaktan çıkarak zafiyetin merkezine dönüşür.

Donanımsal Kök Güvenlik (Root of Trust) ve PUF Teknolojisi

Edge-AI sistemlerinde model hırsızlığını engellemenin tek yolu, şifreleme anahtarını cihazın güç almadığı durumlarda fiziksel olarak var olmayan bir forma dönüştürmektir. Bu noktada Donanımsal Kök Güvenlik (Hardware Root of Trust) kavramı ve Fiziksel Klonlanamaz Fonksiyonlar (Physical Unclonable Functions - PUF) devreye girer.

PUF, silikon çiplerin üretim sürecinde ortaya çıkan mikroskobik, kontrol edilemeyen ve kopyalanamayan varyasyonları kullanarak cihaza özgü bir “dijital parmak izi” oluşturur. Fotolitografi ve aşındırma süreçleri sırasındaki kimyasal kirlilikler, oksit kalınlığındaki nanometrik farklılıklar veya katkılama (doping) konsantrasyonlarındaki rastgele değişimler, aynı üretim bandından çıkan iki çipin bile elektriksel karakteristiklerinin farklı olmasını sağlar.

Bu elektriksel sapmalar, donanım seviyesinde belirli bir giriş (Challenge) uygulandığında cihazın tamamen kendine has, tahmin edilemez ancak o cihaz için tekrarlanabilir bir çıkış (Response) üretmesine olanak tanır. Bu yapıya Challenge-Response Pair (CRP) adı verilir ve cihazın güvenliğinin temelini oluşturur.

Halka Osilatörlü PUF (RO-PUF) Mimarisi ve Matematiksel Mantığı

FPGA’ler üzerinde en yaygın ve güvenilir olarak uygulanan PUF mimarilerinden biri Halka Osilatör PUF (Ring Oscillator PUF - RO-PUF) yapısıdır.

Mimari ve Frekans Farkı

RO-PUF, tek sayıda evirici (inverter) kapısının uç uca bağlanması ve son kapının çıkışının ilk kapının girişine geri beslenmesiyle oluşturulan kombinezonsal bir döngüdür. Bu yapı kendi kendine salınım yaparak belirli bir frekansta kare dalga üretir. Bir halka osilatörün frekansı (f) aşağıdaki formülle ifade edilir:

f=1/(2⋅N⋅td)

Burada N evirici sayısını, td ise tek bir eviricinin ortalama gecikme süresini (propagation delay) temsil eder. Silikon varyasyonları nedeniyle FPGA içerisindeki her bir eviricinin td değeri mikroskobik oranda farklıdır.

RO-PUF mimarisinde, teorik olarak birebir aynı tasarlanmış M adet halka osilatör dizisi bulunur. Bir bitlik anahtar verisi elde etmek için, simetrik iki çoklayıcı (multiplexer) kullanılarak bu diziden iki farklı osilatör seçilir. Bu osilatörlerin çıkışları belirli bir zaman penceresi boyunca iki ayrı sayıcıya (counter) bağlanır. Süre sonunda sayıcı değerleri bir karşılaştırıcı (comparator) ile değerlendirilir:

• Eğer Osilatör A’nın frekansı Osilatör B’den büyükse, çıkış biti 1 olur.
• Eğer Osilatör B’nin frekansı Osilatör A’dan büyükse, çıkış biti 0 olur.

Kararlılık Sorunları ve Bulanık Çıkarıcı (Fuzzy Extractor)

RO-PUF her ne kadar benzersiz olsa da, çevresel faktörlere (sıcaklık değişimleri ve voltaj dalgalanmaları) karşı hassastır. Silikonun ısınması veya besleme voltajındaki ($V_{CCINT}$) gürültüler, silisyumdaki taşıyıcı hareketliliğini ve eşik voltajını değiştirerek osilatör frekanslarını etkiler. Bu durum, CRP tepkilerinde “bit kaymalarına” (bit flips) yol açar. Kriptografik anahtarlarda bir bitlik hata dahi tüm şifreli veri akışının çözülememesi (Avalanche Effect - Çığ Etkisi) anlamına gelir.

Bu fiziksel kararsızlığı aşmak için Bulanık Çıkarıcı (Fuzzy Extractor) mekanizması iki temel aşamada çalışır:

1. Kayıt Aşaması (Enrollment - Gen): Güvenli bir laboratuvar ortamında, RO-PUF’tan ilk ham yanıt ($R$) okunur. Bu ham yanıt kullanılarak cihaz için benzersiz bir Yardımcı Veri (Helper Data / Parity - $P$) ve temiz bir referans anahtarı ($K$) türetilir. Yardımcı Veri ($P$) cihazın dışındaki güvenli olmayan bir bellekte (NVM) saklanabilir, çünkü $P$’den ham anahtar $R$ veya $K$ matematiksel olarak geri elde edilemez.
2. Yeniden Yapılandırma Aşaması (Reconstruction - Rec): Cihaz sahada her çalıştığında, RO-PUF’tan gürültülü yeni bir yanıt ($R’$) okunur. Fuzzy Extractor algoritması, dış bellekten okuduğu Yardımcı Veri ($P$) ile bu gürültülü yanıtı ($R’$) birleştirerek hata düzeltme sürecini başlatır.

Hata Düzeltme Kodları (ECC): BCH ve Hamming Entegrasyonu

Bulanık Çıkarıcı’nın kalbinde Hata Düzeltme Kodları (Error Correcting Codes - ECC) yer alır. RO-PUF tasarımlarında bit hata oranı (Bit Error Rate - BER) genellikle %1 ila %5 arasındadır. Bu oranı %0’a indirgemek için şu iki kodlama tekniği yaygın olarak tercih edilir:

• Hamming Kodları: Blok başına sınırlı sayıda hatayı (genellikle 1 bit) düzeltebilen düşük karmaşıklıklı kodlardır. Donanım kaynaklarının kısıtlı olduğu uç cihazlarda hızlı bir ön filtreleme aşaması olarak kullanılabilir. Ancak yüksek sıcaklık dalgalanmalarının beklendiği askeri veya endüstriyel senaryolarda tek başına yetersiz kalır.
• BCH (Bose-Chaudhuri-Hocquenghem) Kodları: Çoklu bit hatalarını düzeltebilen, Galois Alanı ($GF(2^m)$) aritmetiğine dayalı güçlü döngüsel blok kodlarıdır. Örneğin, $BCH(255, 131, 18)$ kodu kullanıldığında, 255 bitlik bir blokta rastgele oluşan 18 adet bit hatası tamamen onarılabilir. Bu yöntem, RO-PUF çıkışının en zorlu çevresel koşullarda dahi %100 kararlılıkla yeniden üretilerek kararlı bir 256-bit AES anahtarına dönüştürülmesini sağlar.

Örnek Uygulama: CyberPUF ile FPGA/SoC Üzerinde Edge-AI Güvenliği

Donanım tabanlı bu mimarinin gerçek dünyada bir Edge-AI cihazına (örneğin Xilinx Zynq SoC veya Intel Cyclone V) entegrasyonu için açık kaynaklı CyberPUF projesi referans alınabilir. CyberPUF; Yazılım Yapay Zekası, Donanım Kriptografisi ve Gömülü Sistemleri birbirine bağlayan üç aşamalı bir yapı sunar:

Faz 1: Yapay Zeka Eğitimi ve Şifreleme (Python Katmanı)
Model (örneğin CIFAR-10 üzerinde eğitilmiş bir CNN) eğitildikten sonra, ağırlıklar özel bir .cpuf formatına dönüştürülür ve AES-256 ile şifrelenerek cihaz dışı belleklere gönderilir.

Faz 2: Donanım Güvenliği ve Kriptografi (VHDL Katmanı)
- RO-PUF ve Anahtar Üretimi: 16 çift (toplam 32) Ring Oscillator ile cihaz uyandığında benzersiz bir 256-bit anahtar üretilir. Çevresel gürültüler çoğunluk oylaması (majority-voting) gibi yöntemlerle dengelenir.
- Yan Kanal Koruması (SCA Countermeasures): AES şifre çözme modülüne entegre edilen LFSR tabanlı yapay güç gürültüsü üreteci ve rastgele gecikme (Random Stall) teknikleri sayesinde, Güç Analizi (DPA/CPA) saldırıları donanımsal olarak engellenir.
- AXI4-Lite Entegrasyonu: Tüm kriptografi çekirdeği işlemciyle haberleşmek için bellek eşlemeli (memory-mapped) yazmaçlarla sarılır.

Faz 3: Gömülü Yapay Zeka Çıkarımı (Bare-Metal C Katmanı)
- Yardımcı Veri Üretici (Fuzzy Extractor): Cihaz açıldığında Flash bellekten okunan Yardımcı Veri (Helper Data) ile FPGA’in RO-PUF modülünden okunan ham anahtar gömülü C yazılımı seviyesinde BCH kod çözücü (decoder) algoritmasından geçirilir. Donanımsal hata toleransı aşılsa bile yazılımsal bu katman anahtar kararlılığını %100’e ulaştırır.
- Bellek ve Donanım Soyutlaması (HAL) ve Ping-Pong Buffer Yönetimi:
Uç cihazların SRAM kaynakları sınırlıdır ve dinamik bellek yönetimi (malloc/free) RAM parçalanmasına (fragmentation) yol açarak sistemin çökmesine neden olabilir. CyberPUF projesinde kullanılan Ping-Pong Buffer (Çift Tampon Bellek) mekanizması, CNN motorunun katman ağırlıklarını işlerken bellek verimliliğini ve güvenliğini en üst düzeye çıkarır.
- İşleyiş Mantığı: Bellekte iki adet statik dizi (Buffer A ve Buffer B) ayrılır. CNN’in birinci katmanının şifreli ağırlıkları AES-256 motoru tarafından çözülürken Buffer A’ya yazılır. CNN motoru Buffer A’daki verileri işleyip çıkarım (inference) yaparken, eş zamanlı olarak donanımsal AES motoru bir sonraki katmanın ağırlıklarını çözüp Buffer B’ye yazar. İşlem bittiğinde roller değişir (ping-pong switch).
- Güvenlik Katkısı: Ağırlıklar belleğe hiçbir zaman tek bir blok halinde ve şifresiz olarak yüklenmez. Sadece o anda işlenen katmanın ağırlıkları geçici RAM tamponlarında tutulur. Cihazın enerjisi kesildiğinde veya bir kurcalama (tampering) tespit edildiğinde, uçucu SRAM yapısındaki bu iki küçük tampon saniyeler içinde sıfırlanır (zeroization) ve model hırsızlığı imkansız hale getirilir.

VHDL / SystemVerilog ile Donanım Katmanı Pratikleri

RO-PUF tabanlı bir mimariyi gerçeklerken, RTL (Register Transfer Level) tasarımı klasik senkron dijital tasarım kurallarının dışına çıkar. Sentezleme (Synthesis) ve Yerleştirme/Yönlendirme (Place & Route) aşamalarında dikkat edilmesi gereken kritik mühendislik zorunlulukları şunlardır:

• Sentezleyici Optimizasyonlarını Engellemek: FPGA sentez araçları (Vivado, Quartus vb.), bir saate (clock) bağlı olmayan evirici döngülerini mantıksal bir hata veya “gereksiz gecikme” olarak algılar ve bu yapıları optimize ederek yok eder. Bunu önlemek için RTL kodunda nitelikler (attributes) kullanılmalıdır:
  • VHDL/SystemVerilog’da (* KEEP = "TRUE" *) ve (* DONT_TOUCH = "TRUE" *) pragmaları kullanılarak sentezleyicinin bu ağlara müdahale etmesi engellenir.
  • Kombinezonsal döngü uyarılarını bastırmak için (* ALLOW_COMBINATORIAL_LOOPS = "TRUE" *) tanımlaması gereklidir.

Örnek RO-PUF Hücresi (SystemVerilog Tasarımı)

Aşağıdaki kod bloğunda, sentezleyicinin döngüyü kaldırmasını veya sadeleştirmesini önleyecek şekilde özniteliklerle (attributes) donatılmış, 3 eviricili ve bir aktif etme (enable) kapısına sahip örnek bir halka osilatör (Ring Oscillator) hücresinin SystemVerilog uygulaması yer almaktadır:

// Sentezleyicinin optimizasyon yapmasını ve döngüyü silmesini engellemek için öznitelikler tanımlanır
(* DONT_TOUCH = "TRUE" *)
module ring_oscillator #(
    parameter int STAGES = 3 // Tek sayı olmalıdır (örneğin 3, 5, 7 evirici)
)(
    input  logic enable,     // Osilatörü aktif eden sinyal
    output logic osc_out     // Üretilen frekans çıkışı
);

    // Eviriciler arası bağlantı ağları (sentezleyicinin optimizasyonunu önlemek için KEEP eklenir)
    (* KEEP = "TRUE" *) logic [STAGES:0] delay_chain;

    // Aktif etme kapısı (NAND mantığı): enable '1' ise döngü salınım yapar
    assign delay_chain[0] = enable ? delay_chain[STAGES] : 1'b0;

    // Evirici zincirinin oluşturulması
    genvar i;
    generate
        for (i = 0; i < STAGES; i++) begin : gen_inverters
            // Her bir aşamada evirici mantığı uygulanır
            assign delay_chain[i+1] = ~delay_chain[i];
        end
    endgenerate

    // Son aşamanın çıkışı osilatör çıkışı olarak atanır
    assign osc_out = delay_chain[STAGES];

endmodule

• Simetrik Yerleşim Kısıtlamaları (Placement Constraints): İki halka osilatörün frekans farkı sadece silikon varyasyonundan kaynaklanmalıdır, yönlendirme (routing) gecikmesinden değil. Eğer sentezleyici Osilatör A’yı FPGA’in sol üst köşesine, Osilatör B’yi sağ alt köşesine yerleştirirse, aralarındaki kablolama mesafesi osilatör frekansını domine eder ve PUF’un benzersizlik karakteristiğini yok eder.
  • Bunu çözmek için Xilinx mimarilerinde RLOC (Relative Location) ve BEL (Basic Element Location) kısıtlamaları kullanılarak Hard-Macro tasarımlar yapılmalıdır.
  • Tüm eviriciler aynı dilim (slice) veya mantık bloğu (CLB) içerisine hapsedilmeli ve aralarındaki yönlendirme manuel olarak birebir simetrik olacak şekilde kilitlenmelidir.

Sonuç

• Fiziksel Tehdit Gerçeği: Derin öğrenme modellerinin uç cihazlarda otonom kararlar alması, yapay zeka güvenliğinde fiziksel model hırsızlığını ve IP korsanlığını büyük bir tehdit haline getirmiştir.
• Geleneksel Yöntemlerin Yetersizliği: NVM tabanlı statik anahtar saklama yöntemleri, donanım seviyesindeki yan kanal saldırılarına karşı koyamaz.
• PUF ile Dinamik Güvenlik: RO-PUF, silikonun entropisinden faydalanarak güce bağımlı, dinamik ve klonlanamaz anahtarlar üretir; böylece anahtarlar statik bellekte saklanmaktan kurtulur.
• Entegre Savunma: Edge-AI güvenliği, ancak yapay zekanın yazılımsal gücünün FPGA ve SoC mimarilerindeki donanım seviyesi kriptografik bariyerlerle entegre edilmesiyle garanti altına alınabilir.
• Pratik Uygulanabilirlik: CyberPUF gibi uçtan uca mimariler, “Donanım Destekli Güvenlik” (Hardware-backed security) konseptinin endüstriyel bir zorunluluk olarak uygulanabileceğini kanıtlamaktadır.

Kaynakça

1. CyberPUF (PUF Tabanlı Uç Yapay Zeka Model Ağırlığı Şifrelemesi) - GitHub Reposu