Aprendizaje profundo colaborativo: aplicaciones del aprendizaje automático en criptografía

En el ámbito del aprendizaje profundo, existen casos en los que los datos de una sola fuente son insuficientes para entrenar un modelo. Esto ha generado un creciente interés entre los propietarios de datos no solo por utilizar sus propios datos, sino también por incorporar datos de otras fuentes. Una estrategia para facilitar esto es usar un modelo basado en la nube que pueda aprender de múltiples fuentes de datos. Sin embargo, una preocupación clave es la protección de la información confidencial. 

Esto ha dado origen al concepto de aprendizaje profundo colaborativo, que gira en torno a dos estrategias principales: compartir datos de entrenamiento cifrados y compartir gradientes cifrados. El principio fundamental es el uso de cifrado totalmente homomórfico para garantizar que todos los datos, incluidos los utilizados para operaciones en la nube, permanezcan cifrados durante todo el proceso de aprendizaje.

Compartir datos cifrados para garantizar la privacidad

Se han desarrollado enfoques innovadores para garantizar la privacidad durante el aprendizaje profundo colaborativo. Uno de estos métodos involucra tanto a los propietarios de los datos como a un sistema en la nube. Así es como funciona:

1. Los propietarios de datos crean claves públicas, claves secretas y claves de evaluación. Luego, cifran sus datos (como los de entrenamiento y los objetivos deseados) con sus claves públicas y los envían a la nube.
2. La nube, al recibir estos datos encriptados, procede a entrenar el modelo utilizando las claves públicas y de evaluación proporcionadas por los propietarios de los datos.
3. Una vez que el proceso de aprendizaje actualiza los pesos cifrados, la nube devuelve estos pesos cifrados a los respectivos propietarios de los datos.
4. Finalmente, los propietarios de los datos descifran colaborativamente los datos recibidos para obtener ponderaciones individuales actualizadas. Este proceso de descifrado utiliza técnicas seguras de computación multipartita.

Se ha propuesto otro método más complejo para eliminar la necesidad de que los propietarios de los datos se comuniquen durante el proceso de descifrado. Este método implica una entidad adicional, un centro autorizado (AU), y emplea una combinación de técnicas de doble cifrado y cifrado multiclave totalmente homomórfico. Los pasos son los siguientes:

1. Los propietarios de los datos crean sus claves públicas y secretas y cifran sus datos, que luego se envían a la nube. La AU también conserva una copia de sus claves secretas.
2. La nube, después de recibir los datos cifrados pero carecer de las claves de evaluación, introduce ruido en los datos y los envía a la AU.
3. La AU descifra estos datos utilizando las claves secretas de los propietarios de los datos y los vuelve a cifrar con una clave pública única antes de enviarlos de vuelta a la nube.
4. La nube ahora puede calcular ponderaciones cifradas y actualizadas utilizando estos datos cifrados uniformemente. Una vez hecho esto, los resultados se envían a la AU para su recifrado mediante las claves públicas individuales de los propietarios de los datos.
5. Cada propietario de los datos recibe entonces sus respectivos resultados, que puede descifrar utilizando sus claves secretas.

Se ha demostrado que este sistema mantiene la seguridad semántica, siempre que el sistema de clave pública utilizado también sea semánticamente seguro. Además, la privacidad de los parámetros de aprendizaje profundo, como las ponderaciones, se mantiene intacta mientras la nube y la UA no conspiren.

En avances recientes, se han mejorado el método básico con la introducción del cifrado multiesquema totalmente homomórfico. Esto permite a los propietarios de datos emplear diversos esquemas de cifrado al participar en el aprendizaje profundo colaborativo. Además, se ha mejorado la precisión de ciertas funciones de activación y se ha incrementado la precisión y velocidad generales de las tareas de clasificación en comparación con métodos anteriores.

Aprendizaje profundo colaborativo con gradientes cifrados

Un enfoque innovador en el ámbito del aprendizaje profundo colaborativo implica el uso de cifrado homomórfico aditivo. Este método se desarrolló como una mejora respecto a técnicas anteriores que utilizaban el descenso de gradiente estocástico asíncrono (ASGD) como método de aprendizaje. Este enfoque anterior se denominó "ASGD selectivo de gradientes" porque permitía a cada propietario de los datos decidir qué gradientes compartir globalmente, garantizando así su privacidad. 

También se utilizó un método adicional que incorporaba privacidad diferencial mediante la introducción de ruido de Laplace en los gradientes. A pesar de estas medidas, se demostró que aún existía la posibilidad de fuga de datos confidenciales de los propietarios, incluso si los valores de los gradientes sufrían modificaciones menores.

En el método mejorado que utiliza ASGD, el proceso se puede resumir de la siguiente manera:

1. Los propietarios de los datos recuperan el peso cifrado de la nube y lo descifran con su clave secreta.
2. Utilizando el peso global y sus datos de entrenamiento, el propietario de los datos calcula el gradiente dentro de su modelo de aprendizaje profundo.
3. Este gradiente, después de ser multiplicado por la tasa de aprendizaje, se cifra utilizando la clave secreta del propietario de los datos y luego se envía de vuelta a la nube.
4. Luego, la nube actualiza el peso global utilizando los datos cifrados de los propietarios de los datos, y la operación se limita a la suma.
5. Un punto destacado de este método es su robustez ante posibles fugas de gradiente. La nube, incluso si opera con intenciones curiosas, no puede acceder a la información del gradiente. Además, cuando el propietario de los datos descifra los resultados de la nube, el resultado coincide perfectamente con lo que se esperaría si las operaciones en la nube se realizaran en un gradiente sin cifrar.

Implicaciones de seguridad del aprendizaje automático en criptografía

La integración del aprendizaje automático en la criptografía ha suscitado diversas preocupaciones en materia de seguridad. En esta sección, presentamos un breve resumen de los hallazgos clave relacionados con este tema en los últimos tiempos.

Seguridad en el aprendizaje automático: Un estudio de 2006 analizó si el aprendizaje automático puede ser realmente seguro. Esta investigación presentó una clasificación de los distintos tipos de ataques a los sistemas y técnicas de aprendizaje automático. Además, expuso medidas de defensa contra estos ataques y proporcionó un modelo analítico que ilustraba las estrategias del atacante.

Taxonomía ampliada de ataques: Basándose en su trabajo previo, un estudio posterior amplió la clasificación de los ataques. Esta investigación detalló cómo las diferentes clases de ataques afectan los costos tanto para el atacante como para el defensor. También proporcionó una revisión exhaustiva de los ataques a sistemas de aprendizaje automático, utilizando el filtro de spam estadístico SpamBayes como caso práctico.

Ataques de evasión: Un estudio de 2013 introdujo el concepto de ataques de evasión. Si bien presentan similitudes con los ataques exploratorios de integridad, los ataques de evasión se centran en introducir datos adversarios en los datos de entrenamiento de los sistemas basados ​​en aprendizaje automático. La investigación enfatizó la importancia de evaluar exhaustivamente la resistencia del aprendizaje automático a los datos adversarios.

Explotación de clasificadores de aprendizaje automático: Otro estudio de 2013 destacó un método para manipular clasificadores de aprendizaje automático y revelar información. Esta investigación se centró en la divulgación, intencional o no, de información estadística proveniente de clasificadores de aprendizaje automático. Se desarrolló un metaclasificador único, entrenado para hackear otros clasificadores y extraertractractractractractractractractraccomerciales, infringiendo así los derechos de propiedad intelectual.

Comportamiento adversario: Los adversarios pueden eludir los métodos de aprendizaje modificando su comportamiento en respuesta a estos métodos. Se ha investigado poco sobre técnicas de aprendizaje que puedan resistir ataques con robustez garantizada. Se organizó un taller titulado "Métodos de aprendizaje automático para la seguridad informática" para fomentar el diálogo entre expertos en seguridad informática y aprendizaje automático. El taller identificódentprioridades de investigación, desde aplicaciones tradicionales de aprendizaje automático en seguridad hasta desafíos de aprendizaje seguro y la creación de nuevos métodos formales con seguridad garantizada.

Más allá de la seguridad informática tradicional: El taller tambiéndentdentdentdentdentdentdentdentdentla protección de derechos de autor, la visión artificial (especialmente la biometría) y el análisis de sentimientos.

Seguridad y privacidad en el aprendizaje automático: Un estudio de 2016 analizó en profundidad las preocupaciones sobre seguridad y privacidad en el aprendizaje automático. Introdujo un modelo detallado de amenazas para el aprendizaje automático, categorizando ataques y defensas dentro de un marco adversarial. Los entornos adversariales para el entrenamiento se dividieron en dos categorías principales: aquellos orientados a la privacidad y aquellos orientados a la integridad. La inferencia en entornos adversariales también se clasificó en adversarios de caja blanca y de caja negra. El estudio concluyó analizando el camino para lograr un modelo de aprendizaje automático robusto, privado y responsable.

Progresos pasados ​​del aprendizaje automático en criptoanálisis

El aprendizaje automático se ha integrado cada vez más en el ámbito del criptoanálisis, especialmente para mejorar las capacidades de los ataques de canal lateral. A continuación, se presenta un breve resumen de sus aplicaciones:

Incorporación temprana del aprendizaje automático: Una de las primeras incursiones en este campo implicó el uso del algoritmo de aprendizaje de máquinas de vectores de soporte de mínimos cuadrados (LS-SVM). Este método se centró en la implementación de software del Estándar de Cifrado Avanzado (AES) utilizando el consumo de energía como canal lateral. Los resultados destacaron el papel fundamental de los parámetros del algoritmo de aprendizaje automático en los resultados.

Mejora de la precisión: Un enfoque posterior abogó por el uso del aprendizaje automático para aumentar la precisión de los ataques de canal lateral. Dado que estos ataques se basan en las métricas físicas de las implementaciones de hardware de criptosistemas, suelen basarse en ciertas suposiciones paramétricas. La introducción del aprendizaje automático ofrece una forma de simplificar estas suposiciones, especialmente al trabajar con vectores de características de alta dimensión.

Redes neuronales en criptoanálisis: Otro método innovador empleó una red neuronal para el criptoanálisis. Esta estrategia entrenó a la red neuronal para descifrar textos cifrados sin la clave de cifrado, lo que resultó en una reducción notable del tiempo y de los pares de texto plano-cifrado requeridos para ciertos estándares de cifrado.

Ampliando trabajos anteriores: Partiendo del enfoque de redes neuronales mencionado anteriormente, otro estudio se centró en un cifrado ligero. El objetivo era descubrir la clave en lugar del texto plano. Se probó la eficiencia de la red neuronal tanto en versiones con rondas reducidas como con rondas completas del cifrado, ajustando las configuraciones de la red para maximizar la precisión.

Análisis del tráfico cifrado: Otro estudio profundizó en el análisis del tráfico de red cifrado en dispositivos móviles. El objetivo era discernir las acciones de los usuarios a partir de datos cifrados. Mediante la monitorización pasiva del tráfico cifrado y la aplicación de técnicas avanzadas de aprendizaje automático, se pudieron deducir las acciones de los usuarios con una precisión impresionante.

Aprendizaje profundo en ataques de canal lateral: Se exploró el aprendizaje profundo para refinar los ataques de canal lateral. El objetivo era desarrollar técnicas sofisticadas de perfilado para minimizar las suposiciones en los ataques de plantilla. Mediante la aplicación del aprendizaje profundo, se obtuvieron resultados más precisos en ataques de canal lateral con ciertos estándares de cifrado.

Contrarrestando los ataques de aprendizaje automático: Se introdujo un enfoque único para evitar que el aprendizaje automático se utilizara como arma contra las funciones físicas inclonables (PUF) en la autenticación ligera. Este método combinó una autenticación ligera basada en PUF con una técnica de bloqueo, lo que garantizó que el aprendizaje automático no pudiera extraer con éxitotracnuevo par desafío-respuesta.

Conclusión

La integración del aprendizaje automático en la criptografía ha abierto nuevas vías para mejorar la seguridad y optimizar los procesos. Si bien ofrece soluciones prometedoras, especialmente en el aprendizaje profundo colaborativo y el criptoanálisis, existen preocupaciones de seguridad inherentes que deben abordarse. A medida que este campo evoluciona, es crucial que investigadores y profesionales sean conscientes de las posibles vulnerabilidades y trabajen para crear sistemas robustos y seguros.