En esta publicación, hablamos con el Dr. Xiaowei Huang y el Dr. Yi Dong (Universidad de Liverpool), el Dr. Mat Weldon (Reino Unido (Reino Unido) Oficina de Estadísticas Nacionales (ONS)) y el Dr. Michael Fenton (Trūata) que fueron ganadores en los desafíos de los premios de los premios de la privacidad de la privacidad del Reino Unido. Discutimos los desafíos de implementación del aprendizaje federado de preservación de la privacidad (PPFL): específicamente, las áreas de modelado de amenazas y implementaciones del mundo real. Modelando la investigación en la investigación sobre el aprendizaje federado que presenta la privacidad (PPFL), las protecciones de un sistema PPFL generalmente están codificadas en un modelo de amenazas que define a qué tipos de atacantes pueden defenderse. Algunos sistemas suponen que los atacantes espiarán la operación del sistema, pero no podrán afectar su operación (un llamado atacante honesto pero curioso), mientras que otros asumen que los atacantes pueden modificar o romper la operación del sistema (un atacante activo o totalmente malicioso). Los atacantes más débiles son generalmente más fáciles de defender que los más fuertes. Desafortunadamente, sigue siendo difícil determinar si un modelo de amenaza es realista. En el mundo real, ¿serán honestos pero curiosos o completamente maliciosos? O en algún punto intermedio? A menudo es muy difícil decir con confianza, y tomar la decisión incorrecta puede provocar la implementación de un sistema que no se defiende lo suficientemente bien. Además, puede ser difícil incluso comparar modelos de amenazas diferentes para determinar su fuerza relativa. Autores: ¿Qué suposiciones hacen los diseñadores de sistemas sobre las capacidades de los atacantes al diseñar un modelo de amenaza? Xiaowei Huang y el Dr. Yi Dong, Universidad de Liverpool: Dependiendo de los supuestos, los modelos de diferentes amenazas permiten al atacante con diferentes capacidades. Por ejemplo, un atacante puede espiar las comunicaciones entre agentes y usar las observaciones para descubrir los secretos (por ejemplo, reconstruir el modelo global). Otro atacante puede manipular las etiquetas de un conjunto de datos local para inducir predicciones erróneas. Un agente local también puede ser un atacante, en el sentido de que puede inyectar puertas traseras en el modelo global o robar el modelo global sin contribución. Un atacante del agente central puede manipular la actualización del modelo para evitar que el modelo global convergir. Autores: ¿Cuáles son los desafíos para definir y comparar modelos de amenazas para el aprendizaje federado de preservación de la privacidad? Xiaowei Huang y el Dr. Yi Dong, Universidad de Liverpool: Incluso para un ataque bien discutido como el ataque de envenenamiento, debido a su naturaleza distribuida y limitaciones de privacidad, puede haber diferentes modelos de amenazas (por ejemplo, atacantes ruidosos, observacionales o bizantinos). Para habilitar un estudio riguroso, un modelo de amenaza debe estar bien articulado. Sin embargo, todavía falta un modelo formal que puede describir diferentes suposiciones. Este estado de la técnica ha dificultado la comparación entre los métodos (ya sea el aprendizaje o la defensa). La investigación de la teoría de la realidad sobre el aprendizaje federado que preserva la privacidad a menudo hace que los supuestos simplificadores que no son razonables en las implementaciones del mundo real. Estos espacios entre la teoría y la práctica siguen siendo una barrera para desarrollar sistemas PPFL desplegables, y la mayoría de los sistemas existentes han llenado estos vacíos con soluciones personalizadas. Además de limitar el potencial de que los sistemas PPFL sean adoptables en una escala más amplia, este enfoque también significa que es difícil garantizar que los sistemas PPFL implementados sean confiables y libres de errores. Este desafío se ve agravado por la necesidad de que los sistemas PPFL del mundo real se integren con la infraestructura de datos existente, un requisito que también puede conducir a importantes problemas de seguridad y privacidad. Varios participantes en los desafíos del premio de las mascotas del Reino Unido-EE. UU. Destacaron los problemas relacionados con esto. Autores: ¿Qué brechas principales aún existen entre la teoría y la práctica del aprendizaje federado que preserva la privacidad? Dr. Xiaowei Huang y el Dr. Yi Dong, Universidad de Liverpool: Aprendizaje federado actual (FL) o PPFL se centran en el desarrollo algorítmico, al abstraer algunas configuraciones del mundo real en el que se ejecutará el algoritmo FL o PPFL. Por ejemplo, puede no considerar los casos en los que algunos o todos los agentes locales no tienen suficientes poderes computacionales o memoria para realizar capacitación e inferencia a gran escala, y puede no considerar el entorno abierto en el que hay espías o atacantes para comprometer las propiedades de seguridad o privacidad de los algorithms.dr. Mat Weldon, Oficina de Estadísticas Nacionales (ONS) del Reino Unido, Campus de ciencia de datos: el problema con las soluciones de aprendizaje federadas actuales, altamente a medida, es que hay tantas partes móviles, y cada parte móvil debe ser probada de forma independiente para cada nueva solución. Es más fácil diseñar una nueva arquitectura de aprendizaje federada que para el equipo rojo. La disciplina se encuentra actualmente en un estado muy fluido: cada nueva solución es a medida y se adapta a un problema de ingeniería particular. Esto hace que sea difícil lograr economías de escala. Predigo que en los próximos años surgen protocolos que cristalizan patrones comunes, de la misma manera que los protocolos criptográficos emergieron y cristalizaron el comercio web. Michael Fenton, Trūata: en la mayoría de las soluciones que hemos observado, los defectos pequeños pero críticos en el diseño general del sistema pueden conducir a violaciones de la privacidad. Estas defectos generalmente surgen porque los diseñadores de soluciones a menudo buscan modernizar soluciones o sistemas heredados existentes para agregar elementos de preservación de la privacidad como una medida de tiempo y ahorro de costos. El resultado neto es que el sistema general se vuelve poco optimizado para la protección de la privacidad, ya que en muchos casos una solución óptima puede requerir comenzar desde cero, lo que puede ser prohibitivamente costoso desde una perspectiva de desarrollo. La privacidad por diseño significa construir protecciones de privacidad en un sistema en papel y en la práctica (es decir, diseñar un sistema para que la privacidad se presente desde cero y pruebe todo el sistema para garantizar que esas protecciones de privacidad tengan el efecto deseado). La reunión de los desafíos descritos en esta publicación se asocia con la etapa temprana del desarrollo de los sistemas PPFL, una situación que muchos trabajan en esta área esperan que mejoren con el tiempo. A medida que las organizaciones comienzan a construir e implementar sistemas PPFL, estamos aprendiendo más sobre los procesos para el modelado de amenazas. Por ejemplo, es importante articular cuidadosamente los riesgos de seguridad y privacidad más importantes del contexto de despliegue y garantizar que el modelo de amenaza incluya todas las capacidades de atacantes asociadas con estos riesgos. El interés en las implementaciones prácticas también impulsa el desarrollo de herramientas de software flexibles. Los marcos de software de código abierto como Flower, Pysyft, Fate y TensorFlow Federated se están volviendo rápidamente más maduros y capaces, y los esfuerzos de colaboración como el Laboratorio de PET de la ONU, el Servicio Nacional de Datos Secuentes y los desafíos como el Desafío de premios de PETS del Reino Unido continúan aumentando la necesidad de la necesidad de estas tecnologías. resultando en desafíos de escalabilidad únicos. En nuestra próxima publicación, discutiremos estos desafíos y algunas de las ideas emergentes para abordarlos.