ในการบรรยายคีย์โน้ตของงาน Apple WWDC 2024 เมื่อคืนที่ผ่านมาระหว่างการเปิดตัวชุดบริการ Apple Intelligence นั้นแอปเปิลยอมรับว่าต้องส่งข้อมูลบางส่วนขึ้นคลาวด์เนื่องจากต้องการประสิทธิภาพการประมวลผลที่สูงขึ้นเกินกว่าชิปบนอุปกรณ์จะรับไหว แต่แอปเปิลก็พยายามรักษาความเป็นส่วนตัวให้ใกล้เคียงกับการประมวลผลบนอุปกรณ์โดยตรงด้วย Private Cloud Compute คอมพิวเตอร์บนคลาวด์ออกแบบเฉพาะสำหรับการประมวลผลที่ยืนยันได้ว่าปลอดภัย
Private Cloud Compute (PCC) เป็นเซิร์ฟเวอร์ที่ถูกล็อกการทำงานแบบเดียวกับ iPhone โดยอาศัยฟีเจอร์ Secure Enclave และ Secure Boot สำหรับการยืนยันว่าระบบจะบูตเฉพาะระบบปฎิบัติการที่ได้รับการรับรองเท่านั้น ขณะที่ระบบปฎิบัติการหลักที่นำมารันจะใช้ iOS หรือ macOS รุ่นปรับแต่งมาเป็นพิเศษเพื่อการรัน Large Language Model (LLM)
แอปเปิลระบุว่า PCC นั้นทำงานแบบ stateless ข้อมูลผู้ใช้ (ซึ่งอาจจะเป็นข้อความแชตที่ต้องการให้สร้างคำตอบให้, หรือเอกสารส่วนตัวที่ต้องการให้ LLM ช่วยสรุป) เมื่อส่งมายัง PCC แล้วจะถูกลบออกทันทีที่ LLM ส่งข้อมูลกลับไปยังผู้ใช้
อุปกรณ์ที่เรียกใช้งาน Apple Intelligence บนคลาวด์จะขอ public key ของ PCC มาก่อนและเข้ารหัสเพื่อส่งตรงไปยังเซิร์ฟเวอร์โดยตรง อุปกรณ์อื่นๆ ของแอปเปิลเอง เช่น load balancer จะไม่เห็นข้อมูลผู้ใช้อีก สำหรับการประมวลผลข้อมูลขนาดใหญ่ที่ต้องเก็บข้อมูลลงดิสก์ Secure Enclave จะสร้างกุญแจเข้ารหัสดิสก์ใหม่ทุกรอบที่บูตโดยไม่เก็บกุญแจไว้ ทำให้ข้อมูลในดิสก์ของ PCC จะถูกล้างใหม่ทุกรอบที่บูตเครื่องเพราะข้อมูลเข้ารหัสด้วยกุญแจที่หายไปแล้วหลังจากบูตรอบก่อน
กระบวนการป้องกันเซิร์ฟเวอร์จะเริ่มตั้งแต่การจัดซื้อที่แอปเปิลระบุว่าออกแบบ supply chain ที่ปลอดภัยเป็นพิเศษ การโจมตีผ่านการสับเปลี่ยนฮาร์ดแวร์ก่อนส่งมอบทำได้ยากและตรวจพบได้ง่าย โดยผู้ผลิตต้องถ่ายภาพเซิร์ฟเวอร์ที่ความละเอียดสูงก่อนออกจากโรงงานและส่งในแพ็กเกจที่ซีลป้องกันการเปิด เมื่อเซิร์ฟเวอร์มาถึงศูนย์ข้อมูลของแอปเปิลก็จะถูกตรวจความผิดปกติของฮาร์ดแวร์ว่าผิดไปจากที่ออกมาจากโรงงานหรือไม่ ในขณะที่ถ้าแอปเปิลถูกวางยาได้จริงในเซิร์ฟเวอร์บางส่วน คนร้ายก็ไม่สามารถเจาะจงให้เป้าหมายมาใช้เซิร์ฟเวอร์ที่ตนเองวางยาเอาไว้ได้ โดยอาศัยกระบวนการ target diffusion ที่ metadata ไม่มีข้อมูลใดระบุถึงตัวตนผู้ใช้หรืออุปกรณ์ที่เรียกใช้เซิร์ฟเวอร์ การยืนยันว่าผู้ใช้มีิสิทธิ์เรียกใช้บริการอาศัยกระบวนการ RSA Blind Signature (RFC 9474) ส่วนการเชื่อมต่อจะเชื่อมผ่านผู้ให้บริการ Oblivious HTTP (RFC 9458) โดยผู้ให้บริการภายนอก ซึ่งก็น่าจะเป็น Cloudflare
ที่ระดับซอฟต์แวร์ แอปเปิลระบุว่าจะเปิดรันไทม์ PCC ทุกเวอร์ชั่นให้สาธารณะเข้ามาตรวจสอบความปลอดภัย (publicly available for security research) โดยการ build ทุกครั้งจะถูก log ไว้ในฐานข้อมูลแบบเพิ่มข้อมูลได้อย่างเดียว (append-only log) และซอฟต์แวร์จะเปิดให้ดาวน์โหลดภายใน 90 วันหลังจากถูก log ไว้ นักวิจัยจะสามารถนำอิมเมจไปรันบน PCC Virtual Research Environment
ที่มา - Apple Security Blog