En el ámbito del aprendizaje profundo, hay casos en los que los datos de una única fuente son insuficientes para entrenar un modelo. Esto ha llevado a un creciente interés entre los propietarios de datos no sólo por utilizar sus propios datos sino también por incorporar datos de otras fuentes. Un enfoque para facilitar esto es utilizar un modelo basado en la nube que pueda aprender de múltiples fuentes de datos. Sin embargo, una preocupación clave es la protección de la información confidencial.
Esto ha dado lugar al concepto de aprendizaje profundo colaborativo, que gira en torno a dos estrategias principales: compartir datos de entrenamiento cifrados y compartir gradientes cifrados. El principio general aquí es el uso de cifrado totalmente homomórfico para garantizar que todos los datos, incluidos los utilizados para las operaciones en la nube, permanezcan cifrados durante todo el proceso de aprendizaje.
Compartir datos cifrados para garantizar la privacidad
Ha habido enfoques innovadores para garantizar la privacidad durante el aprendizaje profundo colaborativo. Uno de esos métodos involucra tanto a los propietarios de datos como a un sistema basado en la nube. Así es como funciona:
- Los propietarios de datos crean claves públicas, claves secretas y claves de evaluación. Luego cifran sus datos (como datos de entrenamiento y objetivos deseados) utilizando sus claves públicas y envían estos datos cifrados a la nube.
- La nube, al recibir estos datos cifrados, procede a entrenar el modelo utilizando las claves públicas y de evaluación proporcionadas por los propietarios de los datos.
- Una vez que el proceso de aprendizaje actualiza los pesos cifrados, la nube los devuelve a los respectivos propietarios de los datos.
- Finalmente, los propietarios de los datos descifran en colaboración los datos recibidos para obtener pesos actualizados individuales. Este proceso de descifrado aprovecha técnicas de cálculo seguras entre múltiples partes.
Se ha propuesto otro método más complejo para eliminar la necesidad de que los propietarios de los datos se comuniquen durante el proceso de descifrado. Esto implica una entidad adicional, un centro autorizado (AU), y emplea una combinación de técnicas de cifrado doble y cifrado totalmente homomórfico de múltiples claves. Los pasos son:
- Los propietarios de datos crean sus claves públicas y secretas y cifran sus datos, que luego se envían a la nube. La UA también conserva una copia de las claves secretas de los propietarios de los datos.
- La nube, después de recibir los datos cifrados pero al carecer de las claves de evaluación, introduce ruido en los datos y los reenvía a la AU.
- La UA descifra estos datos utilizando las claves secretas de los propietarios de los datos y los vuelve a cifrar con una clave pública singular antes de enviarlos de regreso a la nube.
- La nube ahora puede calcular pesos cifrados y actualizados utilizando estos datos cifrados uniformemente. Una vez hecho esto, los resultados se envían a la AU para volver a cifrarlos utilizando claves públicas individuales de los propietarios de los datos.
- Luego, cada propietario de datos recibe sus respectivos resultados, que puede descifrar utilizando sus claves secretas.
Se ha demostrado que este sistema mantiene la seguridad semántica, siempre que el sistema de clave pública utilizado también sea semánticamente seguro. Además, la privacidad de los parámetros de aprendizaje profundo, como los pesos, permanece intacta mientras la nube y la UA no conspiren.
En avances recientes, se han producido mejoras en el método básico mediante la introducción de un cifrado totalmente homomórfico de múltiples esquemas. Esto permite a los propietarios de datos emplear diversos esquemas de cifrado cuando participan en un aprendizaje profundo colaborativo. Además, ha habido mejoras en la precisión de ciertas funciones de activación y un aumento en la precisión general y la velocidad de las tareas de clasificación en comparación con métodos anteriores.
Aprendizaje profundo colaborativo con gradientes cifrados
Un enfoque innovador en el ámbito del aprendizaje profundo colaborativo implica el uso de cifrado aditivamente homomórfico. Este método se desarrolló como una mejora con respecto a técnicas anteriores que utilizaban el descenso de gradiente estocástico asincrónico (ASGD) como método de aprendizaje. Este enfoque anterior se denominó “ASGD selectivo de gradientes” porque permitía a cada propietario de datos decidir qué gradientes compartir globalmente, garantizando su privacidad.
También hubo un método adicional que incorporaba privacidad diferencial al introducir ruido de Laplace en los gradientes. A pesar de estas medidas, se demostró que todavía existía la posibilidad de que los propietarios filtraran datos confidenciales, incluso si los valores de gradiente sufrieran modificaciones menores.
En el método mejorado que utiliza ASGD, el proceso se puede resumir como:
- Los propietarios de los datos recuperan el peso cifrado de la nube y lo descifran con su clave secreta.
- Utilizando el peso global y sus datos de entrenamiento, el propietario de los datos calcula el gradiente dentro de su modelo de aprendizaje profundo.
- Este gradiente, después de multiplicarse por la tasa de aprendizaje, se cifra utilizando la clave secreta del propietario de los datos y luego se envía de regreso a la nube.
- Luego, la nube actualiza el peso global utilizando los datos cifrados de los propietarios de los datos, limitándose la operación a la suma.
- Un aspecto destacado de este método es su robustez frente a posibles fugas de gradiente. La nube, incluso si opera con una intención curiosa, no puede acceder a la información del gradiente. Además, cuando el propietario de los datos descifra los resultados de la nube, el resultado se alinea perfectamente con lo que se esperaría si las operaciones en la nube se realizaran en un gradiente no cifrado.
Implicaciones de seguridad del aprendizaje automático en criptografía
La integración del aprendizaje automático en la criptografía ha planteado varias preocupaciones de seguridad. En esta sección presentamos un breve resumen de los hallazgos clave relacionados con este tema en los últimos tiempos.
Seguridad del aprendizaje automático : un estudio de 2006 se sumergió en la cuestión de si el aprendizaje automático puede ser realmente seguro. Esta investigación introdujo una clasificación de varios tipos de ataques a sistemas y técnicas de aprendizaje automático. Además, presentó defensas contra estos ataques y proporcionó un modelo analítico que ilustra los esfuerzos del atacante.
Taxonomía ampliada de ataques : basándose en su trabajo anterior, un estudio posterior amplió la clasificación de ataques. Esta investigación detalló cómo las diferentes clases de ataques impactan los costos tanto para el atacante como para el defensor. También proporcionó una revisión exhaustiva de los ataques a sistemas de aprendizaje automático, utilizando el filtro estadístico de spam SpamBayes como caso de estudio.
Ataques de evasión : un estudio de 2013 introdujo el concepto de ataques de evasión. Si bien tienen similitudes con los ataques exploratorios de integridad, los ataques de evasión se centran en introducir datos adversarios en los datos de entrenamiento de los sistemas basados en aprendizaje automático. La investigación enfatizó la importancia de evaluar exhaustivamente la resistencia del aprendizaje automático a los datos contradictorios.
Explotación de clasificadores de aprendizaje automático : otro estudio de 2013 destacó un método mediante el cual los clasificadores de aprendizaje automático podrían manipularse para revelar información. Esta investigación se centró en la divulgación intencional o no intencionada de información estadística de clasificadores de aprendizaje automático. Se desarrolló un metaclasificador único, entrenado para piratear otros clasificadores y extraer trac valiosa sobre sus conjuntos de entrenamiento. Estos ataques podrían utilizarse para crear clasificadores superiores o para extraer trac comerciales, infringiendo así los derechos de propiedad intelectual.
Comportamiento adversario : los adversarios pueden potencialmente eludir los enfoques de aprendizaje alterando su comportamiento en respuesta a estos métodos. Ha habido una exploración limitada de técnicas de aprendizaje que puedan resistir ataques con solidez garantizada. Se organizó un taller titulado “Métodos de aprendizaje automático para la seguridad informática” para fomentar el debate entre expertos en seguridad informática y aprendizaje automático. El taller dent varias prioridades de investigación, que van desde aplicaciones tradicionales de aprendizaje automático en seguridad hasta desafíos de aprendizaje seguro y la creación de nuevos métodos formales con seguridad garantizada.
Más allá de la seguridad informática tradicional : el taller también identificó dent potenciales más allá del ámbito convencional de la seguridad informática. Estas aplicaciones, en las que pueden surgir problemas de seguridad en relación con los métodos basados en datos, incluyen spam en redes sociales, detección de plagio, identificación de autoría, aplicación de dent de autor, visión por computadora (especialmente biométrica) y análisis de sentimientos.
Seguridad y privacidad en el aprendizaje automático : un estudio de 2016 proporcionó un análisis en profundidad de los problemas de seguridad y privacidad en el aprendizaje automático. Introdujo un modelo de amenaza detallado para el aprendizaje automático, categorizando ataques y defensas dentro de un marco adversario. Los entornos conflictivos para la capacitación se dividieron en dos categorías principales: aquellos que apuntan a la privacidad y aquellos que apuntan a la integridad. La inferencia en entornos adversarios también se clasificó en adversarios de caja blanca y de caja negra. El estudio concluyó discutiendo el camino para lograr un modelo de aprendizaje automático sólido, privado y responsable.
Progresos pasados del aprendizaje automático en criptoanálisis
El aprendizaje automático se ha integrado cada vez más en el ámbito del criptoanálisis, especialmente para mejorar las capacidades de los ataques de canal lateral. A continuación se ofrece una descripción concisa de sus aplicaciones:
Incorporación temprana del aprendizaje automático : una de las iniciativas iniciales en este dominio implicó el uso del algoritmo de aprendizaje de la máquina de vectores de soporte de mínimos cuadrados (LS-SVM). Este método tenía como objetivo la implementación de software del Estándar de cifrado avanzado (AES) utilizando el consumo de energía como canal lateral. Los hallazgos resaltaron el papel fundamental de los parámetros del algoritmo de aprendizaje automático en los resultados.
Mejora de la precisión : un enfoque posterior abogó por el uso del aprendizaje automático para aumentar la precisión de los ataques de canal lateral. Dado que estos ataques se basan en métricas físicas de implementaciones de hardware de criptosistemas, a menudo se basan en ciertas suposiciones paramétricas. La introducción del aprendizaje automático ofrece una manera de aliviar estas suposiciones, especialmente cuando se trata de vectores de características de alta dimensión.
Redes neuronales en criptoanálisis : otro método innovador empleó una red neuronal para criptoanálisis. Esta estrategia entrenó a la red neuronal para descifrar textos cifrados sin la clave de cifrado, lo que llevó a una reducción notable en el tiempo y los pares conocidos de texto sin formato y texto cifrado necesarios para ciertos estándares de cifrado.
Ampliando el trabajo anterior : basándose en el enfoque de red neuronal antes mencionado, otro estudio se centró en un cifrado ligero. La atención se centró en descubrir la clave en lugar del texto sin formato. La eficiencia de la red neuronal se probó en versiones del cifrado de ronda reducida y completa, ajustando las configuraciones de la red para maximizar la precisión.
Análisis del tráfico cifrado : un estudio diferente profundizó en el análisis del tráfico de red cifrado en dispositivos móviles. El objetivo era discernir las acciones del usuario a partir de datos cifrados. Al monitorear pasivamente el tráfico cifrado y aplicar técnicas avanzadas de aprendizaje automático, pudieron deducir las acciones del usuario con una tasa de precisión impresionante.
Aprendizaje profundo en ataques de canal lateral : se exploró el aprendizaje profundo para perfeccionar los ataques de canal lateral. El objetivo era desarrollar técnicas sofisticadas de creación de perfiles para minimizar las suposiciones en los ataques de plantillas. Al aplicar el aprendizaje profundo, se lograron resultados más precisos en ataques de canal lateral a ciertos estándares de cifrado.
Contrarrestar los ataques de aprendizaje automático : se introdujo un enfoque único para evitar que el aprendizaje automático se convierta en un arma contra las funciones físicas no clonables (PUF) en la autenticación ligera. Este método combinaba una autenticación ligera basada en PUF con una técnica de bloqueo, lo que garantizaba que el aprendizaje automático no pudiera extraer con éxito trac nuevo par desafío-respuesta.
Conclusión
La integración del aprendizaje automático en la criptografía ha abierto nuevas vías para mejorar la seguridad y optimizar los procesos. Si bien ofrece soluciones prometedoras, especialmente en el aprendizaje profundo colaborativo y el criptoanálisis, existen preocupaciones de seguridad inherentes que deben abordarse. A medida que el campo evoluciona, es fundamental que los investigadores y profesionales sean conscientes de las posibles vulnerabilidades y trabajen para crear sistemas sólidos y seguros.
