클라우드 GPU 원격 검증을 위한 비특권 토폴로지 인증서 (Unprivileged Topology Certificates for Cloud

클라우드 GPU 테넌트(tenants)는 모델 이름과 리전을 제공받지만, 자신의 작업을 실행하는 물리적 가속기를 직접 검사할 수는 없습니다. 본 논문에서는 이러한 환경을 위한 소프트웨어 전용 검증(attestation) 프리미티브(primitive)를 제시합니다. CUDA 프로브(probe)는 물리적 SM 레이블과 종속적 글로벌 로드(dependent global loads)를 사용하여 SM별 메모리 영역 지연 시간 행렬(SM-by-memory-region latency matrix)을 측정합니다. 스트리밍 리듀서(streaming reducer)는 충분한 통계량, 구성(configuration), 코드 해시(code hashes), 네트워크 증거, 그리고 압축된 원시 데이터 아카이브를 검증자가 GPU 없이도 확인할 수 있는 인증서(certificate)에 기록합니다. 이 인증서는 세 가지 주장을 지원합니다. 첫째, SM별 지연 시간 맵은 안정적인 물리적 지문(fingerprint) 역할을 합니다. 6시간 동안의 RTX 5090 풀 로드(full-load) 실행 결과, 중앙값 시간 지터(median temporal jitter)는 0.09 사이클이었으며, 형태만을 이용한 LOO(leave-one-out) 분류는 서로 다른 Blackwell 다이(dies)를 100.0%의 정확도로 구분해냈습니다. 둘째, 캐시 바이패싱(cache-bypassing) HBM 스윕(sweeps)을 통해 세대를 아우르는 하드웨어급 토폴로지(topology)를 복구할 수 있습니다. 여기에는 통합된 Volta V100 메모리 도메인, 2-way Hopper H200 L2 분할, 그리고 74/74 SM 파티션이 30 사이클(15.5 ns)의 다이 간 페널티(cross-die penalty)를 수반하는 Blackwell B200 2-다이 NV-HBI 패키지가 포함됩니다. 셋째, 공용 네트워크 랜드마크(landmarks)를 통해 동일한 인증서를 대략적인 위치와 결합합니다. B200 실행 시, 169개의 RIPE Atlas 프로브는 서버를 주장된 데이터 센터로부터 44km 이내로 배치하였으며, 11개의 모든 미끼 사이트(decoy sites)를 거부했습니다. 종합적으로, 이러한 측정 방식은 특권 권한(privileged access)이나 벤더 키(vendor key) 없이도 클라우드 GPU의 신원, 클래스 및 대략적인 위치를 확인합니다.