Apprentissage profond collaboratif : applications de l’apprentissage automatique en cryptographie

Dans le domaine de l'apprentissage profond, il arrive que les données provenant d'une seule source soient insuffisantes pour entraîner un modèle. De ce fait, les propriétaires de données manifestent un intérêt croissant pour l'utilisation non seulement de leurs propres données, mais aussi de données issues d'autres sources. Une solution pour faciliter cette intégration consiste à utiliser un modèle basé sur le cloud, capable d'apprendre à partir de sources de données multiples. Toutefois, la protection des informations sensibles demeure une préoccupation majeure. 

Ceci a donné naissance au concept d'apprentissage profond collaboratif, qui repose sur deux stratégies principales : le partage de données d'entraînement chiffrées et le partage de gradients chiffrés. Le principe fondamental est l'utilisation d'un chiffrement entièrement homomorphe afin de garantir que toutes les données, y compris celles utilisées pour les opérations dans le cloud, restent chiffrées tout au long du processus d'apprentissage.

Partage de données chiffrées pour garantir la confidentialité

Des approches novatrices ont été développées pour garantir la confidentialité lors de l'apprentissage profond collaboratif. L'une d'elles implique à la fois les propriétaires des données et un système basé sur le cloud. Voici comment elle fonctionne :

1. Les propriétaires des données créent des clés publiques, des clés secrètes et des clés d'évaluation. Ils chiffrent ensuite leurs données (telles que les données d'entraînement et les cibles souhaitées) à l'aide de leurs clés publiques et transfèrent ces données chiffrées vers le cloud.
2. Le cloud, après réception de ces données chiffrées, procède à l'entraînement du modèle à l'aide des clés publiques et d'évaluation fournies par les propriétaires des données.
3. Une fois que le processus d'apprentissage a mis à jour les poids chiffrés, le cloud renvoie ces poids chiffrés aux propriétaires des données respectifs.
4. Enfin, les détenteurs des données déchiffrent collaborativement les données reçues afin d'obtenir les pondérations individuelles mises à jour. Ce processus de déchiffrement utilise des techniques de calcul multipartite sécurisées.

Une autre méthode, plus complexe, a été proposée pour éviter que les propriétaires des données n'aient à communiquer pendant le processus de déchiffrement. Elle fait intervenir une entité supplémentaire, un centre autorisé (CA), et utilise une combinaison de techniques de double chiffrement et de chiffrement homomorphe complet à clés multiples. Les étapes sont les suivantes :

1. Les propriétaires des données créent leurs clés publiques et secrètes et chiffrent leurs données, qui sont ensuite envoyées vers le cloud. L'AU conserve également une copie des clés secrètes des propriétaires des données.
2. Le cloud, après avoir reçu les données chiffrées mais ne disposant pas des clés d'évaluation, introduit du bruit dans les données et les transmet à l'AU.
3. L'AU déchiffre ces données à l'aide des clés secrètes des propriétaires des données et les rechiffre avec une clé publique unique avant de les renvoyer vers le cloud.
4. Le cloud peut désormais calculer les pondérations chiffrées et mises à jour à partir de ces données chiffrées de manière uniforme. Une fois le calcul effectué, les résultats sont envoyés à l'AU pour un nouveau chiffrement à l'aide des clés publiques individuelles des propriétaires des données.
5. Chaque propriétaire de données reçoit ensuite ses résultats respectifs, qu'il peut déchiffrer à l'aide de ses clés secrètes.

Il a été démontré que ce système garantit la sécurité sémantique, à condition que le système de clés publiques utilisé soit lui aussi sémantiquement sécurisé. De plus, la confidentialité des paramètres d'apprentissage profond, tels que les poids, reste intacte tant que le cloud et l'université ne collaborent pas.

Les progrès récents ont permis d'améliorer la méthode de base grâce à l'introduction d'un chiffrement homomorphe complet multi-schémas. Ceci permet aux propriétaires des données d'utiliser différents schémas de chiffrement dans le cadre de l'apprentissage profond collaboratif. De plus, on observe une amélioration de la précision de certaines fonctions d'activation, ainsi qu'une augmentation de la précision et de la rapidité globales des tâches de classification par rapport aux méthodes précédentes.

Apprentissage profond collaboratif avec gradients chiffrés

Une approche novatrice dans le domaine de l'apprentissage profond collaboratif repose sur l'utilisation du chiffrement homomorphe additif. Cette méthode a été développée pour améliorer les techniques précédentes qui utilisaient la descente de gradient stochastique asynchrone (ASGD) comme méthode d'apprentissage. Cette approche antérieure était appelée « ASGD sélective des gradients » car elle permettait à chaque propriétaire de données de choisir les gradients à partager globalement, garantissant ainsi la confidentialité de ses données. 

Une autre méthode, intégrant la confidentialité différentielle par l'introduction d'un bruit de Laplace dans les gradients, a également été testée. Malgré ces mesures, il a été démontré qu'un risque de fuite de données sensibles appartenant aux propriétaires persistait, même en cas de modifications mineures des valeurs des gradients.

Dans la méthode améliorée utilisant l'ASGD, le processus peut être décrit comme suit :

1. Les propriétaires des données récupèrent le poids chiffré depuis le cloud et le déchiffrent à l'aide de leur clé secrète.
2. En utilisant le poids global et leurs données d'entraînement, le propriétaire des données calcule le gradient au sein de son modèle d'apprentissage profond.
3. Ce gradient, après avoir été multiplié par le taux d'apprentissage, est chiffré à l'aide de la clé secrète du propriétaire des données, puis renvoyé vers le cloud.
4. Le cloud met ensuite à jour le poids global en utilisant les données chiffrées des propriétaires des données, l'opération étant limitée à l'addition.
5. L'un des principaux atouts de cette méthode réside dans sa robustesse face aux fuites potentielles de gradient. Le cloud, même en cas d'intention malveillante, ne peut accéder aux informations du gradient. De plus, lorsque le propriétaire des données déchiffre les résultats depuis le cloud, le résultat correspond parfaitement à ce qui serait attendu si les opérations du cloud avaient été effectuées sur un gradient non chiffré.

Implications de l'apprentissage automatique en cryptographie en matière de sécurité

L'intégration de l'apprentissage automatique à la cryptographie a soulevé plusieurs problèmes de sécurité. Dans cette section, nous présentons un bref résumé des principales conclusions récentes concernant ce sujet.

Sécurité de l'apprentissage automatique: Une étude de 2006 s'est penchée sur la question de la sécurité réelle de l'apprentissage automatique. Cette recherche a introduit une classification des différents types d'attaques ciblant les systèmes et techniques d'apprentissage automatique. De plus, elle a présenté des mesures de défense contre ces attaques et fourni un modèle analytique illustrant les efforts des attaquants.

Taxonomie élargie des attaques: S’appuyant sur leurs travaux antérieurs, une étude ultérieure a élargi la classification des attaques. Cette recherche a détaillé l’impact des différentes classes d’attaques sur les coûts, tant pour l’attaquant que pour le défenseur. Elle a également fourni une analyse approfondie des attaques contre les systèmes d’apprentissage automatique, en utilisant le filtre anti-spam statistique SpamBayes comme étude de cas.

Attaques par évasion: Une étude de 2013 a introduit le concept d’attaques par évasion. Bien que présentant des similitudes avec les attaques par exploration d’intégrité, les attaques par évasion consistent à introduire des données adverses dans les données d’entraînement des systèmes d’apprentissage automatique. Cette recherche a souligné l’importance d’évaluer rigoureusement la résistance de l’apprentissage automatique aux données adverses.

Exploitation des classificateurs d'apprentissage automatique: Une étude de 2013 a mis en lumière une méthode permettant de manipuler les classificateurs d'apprentissage automatique afin de révéler des informations. Ces recherches portaient sur la divulgation, intentionnelle ou non, d'informations statistiques issues de ces classificateurs. Un méta-classificateur unique a été développé et entraîné pour pirater d'autres classificateurs et extrairetractractractractractractractractracsecrets commerciaux, constituant ainsi une violation des droits de propriété intellectuelle.

Comportements adverses: Les adversaires peuvent potentiellement contourner les approches d’apprentissage en modifiant leur comportement en réponse à ces méthodes. Les techniques d’apprentissage capables de résister aux attaques avec une robustesse garantie ont été peu explorées. Un atelier intitulé « Méthodes d’apprentissage automatique pour la sécurité informatique » a été organisé afin de favoriser les échanges entre experts en sécurité informatique et en apprentissage automatique. Cet atelier adentidentifier plusieurs priorités de recherche, allant des applications traditionnelles de l’apprentissage automatique en sécurité aux défis d’apprentissage sécurisé et à la création de nouvelles méthodes formelles à sécurité garantie.

Au-delà de la sécurité informatique traditionnelle: L’atelier a égalementdentdentdentdentdentdentdentdentdentle respect du droit d’auteur, la vision par ordinateur (en particulier la biométrie) et l’analyse des sentiments.

Sécurité et confidentialité dans l'apprentissage automatique: Une étude de 2016 a analysé en profondeur les enjeux de sécurité et de confidentialité dans l'apprentissage automatique. Elle a présenté un modèle de menaces détaillé, catégorisant les attaques et les défenses dans un cadre adverse. Les environnements adverses d'entraînement ont été divisés en deux grandes catégories : ceux ciblant la confidentialité et ceux ciblant l'intégrité. L'inférence dans ces environnements a également été catégorisée en adversaires « boîte blanche » et « boîte noire ». L'étude concluait en abordant la voie à suivre pour parvenir à un modèle d'apprentissage automatique robuste, respectueux de la vie privée et responsable.

Progrès antérieurs de l'apprentissage automatique en cryptanalyse

L'apprentissage automatique est de plus en plus intégré au domaine de la cryptanalyse, notamment pour améliorer les capacités des attaques par canaux auxiliaires. Voici un aperçu concis de ses applications :

Premières applications de l'apprentissage automatique: L'une des premières initiatives dans ce domaine a consisté à utiliser l'algorithme d'apprentissage par machines à vecteurs de support à moindres carrés (LS-SVM). Cette méthode visait l'implémentation logicielle de la norme de chiffrement avancée (AES) en utilisant la consommation d'énergie comme canal auxiliaire. Les résultats ont mis en évidence le rôle crucial des paramètres de l'algorithme d'apprentissage automatique sur les performances.

Amélioration de la précision: Une approche ultérieure préconise l’utilisation de l’apprentissage automatique pour accroître la précision des attaques par canaux auxiliaires. Ces attaques, s’appuyant sur les caractéristiques physiques des implémentations matérielles des systèmes cryptographiques, reposent souvent sur certaines hypothèses paramétriques. L’introduction de l’apprentissage automatique permet d’assouplir ces hypothèses, notamment lorsqu’il s’agit de vecteurs de caractéristiques de grande dimension.

Réseaux de neurones en cryptanalyse: Une autre méthode novatrice utilise un réseau de neurones pour la cryptanalyse. Cette stratégie consiste à entraîner le réseau de neurones à déchiffrer des textes chiffrés sans la clé de chiffrement, ce qui permet de réduire considérablement le temps et le nombre de paires texte clair-texte chiffré connues nécessaires pour certaines normes de chiffrement.

Poursuivant les travaux précédents: s’appuyant sur l’approche par réseau neuronal mentionnée précédemment, une autre étude a porté sur un chiffrement léger. L’objectif était alors de découvrir la clé plutôt que le texte clair. L’efficacité du réseau neuronal a été testée sur des versions à nombre de tours réduit et à nombre de tours complet, en ajustant la configuration du réseau afin d’optimiser la précision.

Analyse du trafic chiffré: Une autre étude s’est penchée sur l’analyse du trafic réseau chiffré sur les appareils mobiles. L’objectif était de discerner les actions des utilisateurs à partir des données chiffrées. En surveillant passivement le trafic chiffré et en appliquant des techniques d’apprentissage automatique avancées, les chercheurs ont pu déduire les actions des utilisateurs avec un taux de précision impressionnant.

Apprentissage profond et attaques par canaux auxiliaires: L’apprentissage profond a été exploré pour affiner les attaques par canaux auxiliaires. L’objectif était de développer des techniques de profilage sophistiquées afin de minimiser les hypothèses dans les attaques par modèles. Grâce à l’application de l’apprentissage profond, des résultats plus précis ont été obtenus lors d’attaques par canaux auxiliaires ciblant certains standards de chiffrement.

Contrer les attaques d'apprentissage automatique: Une approche inédite a été mise en place pour empêcher l'utilisation de l'apprentissage automatique contre les fonctions physiques non clonables (PUF) dans l'authentification légère. Cette méthode combine une authentification légère basée sur les PUF avec une technique de verrouillage, garantissant ainsi que l'apprentissage automatique ne puisse pas extraire avec succèstracnouvelle paire défi-réponse.

Conclusion

L'intégration de l'apprentissage automatique à la cryptographie a ouvert de nouvelles perspectives pour renforcer la sécurité et optimiser les processus. Bien qu'elle offre des solutions prometteuses, notamment en matière d'apprentissage profond collaboratif et de cryptanalyse, elle soulève des problèmes de sécurité inhérents qui doivent être pris en compte. À mesure que le domaine évolue, il est crucial que les chercheurs et les praticiens soient conscients des vulnérabilités potentielles et œuvrent à la création de systèmes robustes et sécurisés.