En nuestra segunda publicación describimos ataques a modelos y los conceptos de privacidad de entrada y privacidad de salida. En nuestra última publicación, describimos la partición horizontal y vertical de datos en sistemas de aprendizaje federado que preservan la privacidad (PPFL). En esta publicación, exploramos el problema de proporcionar privacidad de entrada en sistemas PPFL para entornos con particiones horizontales. Modelos, capacitación y agregación Para explorar técnicas para la privacidad de entrada en PPFL, primero debemos ser más precisos sobre el proceso de capacitación. -Aprendizaje federado particionado, un enfoque común es pedir a cada participante que construya una actualización del modelo comenzando desde un modelo global común y entrenando localmente usando sus propios datos. Dado que los datos están divididos horizontalmente, todos los participantes tienen datos con el mismo formato y pueden entrenar modelos que también tienen formatos idénticos. Son posibles diferentes formatos de modelo dependiendo de las técnicas de aprendizaje automático utilizadas. Quizás el formato más común en el aprendizaje federado con particiones horizontales es una red neuronal, en la que los participantes acuerdan una arquitectura de capas conectadas antes de que comience el entrenamiento, y el proceso de entrenamiento modifica los pesos (o parámetros) dentro de las capas para producir respuestas correctas. Los modelos y las actualizaciones de modelos se pueden representar mediante los valores de estos pesos, generalmente organizados en un vector o matriz. Para combinar actualizaciones de modelos individuales, el agregador puede simplemente promediar los pesos asociados con las actualizaciones de modelos de los participantes para obtener un modelo global mejorado. Este algoritmo se llama Promedio Federado (FedAvg) y se puede repetir muchas veces para entrenar un modelo global de alta precisión. Figura 1: el algoritmo FedAvg. El agregador distribuye el modelo global actual a los clientes, los clientes realizan varias iteraciones de entrenamiento, cada una con sus propios datos locales, y luego el agregador promedia las actualizaciones del modelo resultantes para formar la siguiente versión del modelo global. El proceso se repite hasta que el modelo alcanza el rendimiento deseado. Crédito: Privacidad de entrada del NIST a través de agregación segura El algoritmo FedAvg descrito en la última sección no proporciona privacidad de entrada: el agregador recibe actualizaciones de modelos individuales después de cada fase de entrenamiento y podría realizar uno de los ataques descritos en nuestra publicación anterior para violar la privacidad de participantes. Una forma de agregar privacidad de entrada a este proceso es utilizar un protocolo de agregación seguro, que revela el promedio de las actualizaciones del modelo al agregador pero protege las actualizaciones individuales. Ocultar actualizaciones individuales del agregador es una defensa eficaz contra los «ataques a las actualizaciones de modelos» descritos en nuestra publicación anterior. La agregación segura es un área activa de investigación y se han propuesto muchos algoritmos. Un ejemplo sencillo se basa en la idea criptográfica de compartir secretos, que permite «dividir» un valor secreto en varios recursos compartidos. Cada acción individual no revela nada sobre el secreto original; el secreto original sólo se puede recuperar combinando todas las acciones. Además, muchos esquemas de intercambio de secretos son aditivamente homomórficos, lo que significa que se pueden realizar sumas en recursos compartidos sin combinarlos. Para utilizar el intercambio de secretos para una agregación segura, cada participante envía un recurso compartido de la actualización de su modelo a cada participante (quedándose uno para ellos). Luego, cada participante suma las acciones que ha recibido (más la que posee) y envía el resultado al agregador. Mediante el homomorfismo aditivo del esquema de intercambio secreto, el agregador puede combinar las acciones recibidas para llegar a la suma de las actualizaciones del modelo original, ¡pero no tiene forma de acceder a las actualizaciones individuales! Figura 2: agregación segura mediante intercambio de secretos. Cada participante divide su modelo local en acciones secretas, luego los participantes suman las acciones y reconstruyen el nuevo modelo global. El protocolo proporciona privacidad de entrada para cada modelo local y revela solo el nuevo modelo global. Crédito: NIST Este enfoque requiere que los participantes se envíen mensajes directamente entre sí y aumenta la cantidad de datos que cada participante debe enviar y recibir. Investigaciones recientes en esta área han dado como resultado enfoques más eficientes, incluidos sistemas que se han implementado en Google. En los desafíos de premios PET de EE. UU. y el Reino Unido, los equipos de Scarlet Pets y Visa Research incorporaron técnicas de agregación segura como parte de sus soluciones ganadoras. mediante cifrado homomórfico Un enfoque alternativo para agregar privacidad de entrada al aprendizaje federado con particiones horizontales es el uso de cifrado homomórfico en lugar de agregación segura. En general, las técnicas de cifrado homomórfico permiten calcular datos cifrados sin tener que descifrarlos primero. Al utilizar el cifrado homomórfico, los participantes pueden cifrar las actualizaciones de su modelo utilizando una clave de cifrado pública común y enviar las actualizaciones cifradas al agregador. Si el agregador no tiene acceso a la clave secreta correspondiente, entonces no puede acceder a las actualizaciones individuales. Para agregar las actualizaciones del modelo, el agregador puede usar la operación de suma del esquema de cifrado homomórfico para agregar las actualizaciones cifradas juntas, lo que resulta en una modelo agregado cifrado único. A continuación, el agregador necesita descifrar el modelo agregado, ¡pero ya hemos decidido que el agregador no debe tener acceso a la clave secreta necesaria para el descifrado! La forma más sencilla de resolver esta desconexión es presentar a otro participante que sea responsable de conservar la clave secreta y descifrar únicamente los modelos agregados. Este participante debe negarse a descifrar actualizaciones individuales y no debe confabularse con el agregador. El cifrado homomórfico puede ser más eficiente que la agregación segura en algunos casos, pero el requisito de un participante adicional que tenga la garantía de no confabularse con el agregador dificulta su implementación en muchos escenarios. Enfoques alternativos como el cifrado homomórfico de umbral pueden eliminar la necesidad de un participante adicional, por ejemplo, compartiendo en secreto la clave secreta entre los participantes. En los desafíos de premios PET de EE. UU. y el Reino Unido, los equipos de PPMLHuskies, ILLIDANLAB y MusCAT utilizaron técnicas de esta categoría en sus soluciones ganadoras. Privacidad de entrada a través de enclaves seguros Los enclaves seguros (también llamados entornos de ejecución confiables o TEE) brindan un enfoque no criptográfico para ingresar privacidad que, en cambio, se basa en características de seguridad especiales del hardware de la computadora. Por ejemplo, Software Guard Extensions (SGX) de Intel, integradas en muchas CPU Intel, permiten que los programas dentro de un enclave calculen con datos cifrados sin revelar esos datos al propietario de la CPU. La incorporación de un enclave seguro en un sistema PPFL permite a partes no confiables realizar cálculos confiables, lo que puede simplificar el diseño del sistema. Los enfoques basados ​​en enclaves también pueden mejorar el rendimiento al evitar la necesidad de criptografía costosa. Sin embargo, a diferencia de los enfoques criptográficos, la seguridad de un enclave depende de la confiabilidad y corrección de la CPU misma, por lo que los sistemas PPFL que dependen de enclaves seguros requieren confianza. el fabricante de la CPU. A continuación Las técnicas de privacidad de entrada descritas en esta publicación son más fáciles de aplicar cuando los datos se dividen horizontalmente, porque la agregación de modelos se puede realizar mediante una simple suma. Sin embargo, cuando los datos se dividen verticalmente, la agregación es mucho más compleja y se necesitan diferentes técnicas para proporcionar privacidad a la entrada. La próxima publicación de esta serie describirá este desafío y explorará algunas técnicas comunes para abordarlo.

Source link