Apprendimento profondo collaborativo: applicazioni di apprendimento automatico in crittografia

Nell'ambito del deep learning, ci sono casi in cui i dati provenienti da una singola fonte non sono sufficienti per addestrare un modello. Ciò ha portato a un crescente interesse tra i proprietari di dati non solo nell'utilizzare i propri dati, ma anche nell'incorporare dati provenienti da altre fonti. Un approccio per facilitare questo processo è l'utilizzo di un modello basato su cloud in grado di apprendere da più fonti di dati. Tuttavia, una preoccupazione fondamentale è la protezione delle informazioni sensibili. 

Ciò ha dato origine al concetto di apprendimento profondo collaborativo, che ruota attorno a due strategie principali: la condivisione di dati di addestramento crittografati e la condivisione di gradienti crittografati. Il principio fondamentale è l'uso della crittografia completamente omomorfica per garantire che tutti i dati, compresi quelli utilizzati per le operazioni nel cloud, rimangano crittografati durante l'intero processo di apprendimento.

Condivisione di dati crittografati per garantire la privacy

Esistono approcci innovativi per garantire la privacy durante il deep learning collaborativo. Uno di questi metodi coinvolge sia i proprietari dei dati sia un sistema basato su cloud. Ecco come funziona:

1. I proprietari dei dati creano chiavi pubbliche, chiavi segrete e chiavi di valutazione. Quindi crittografano i propri dati (come i dati di training e gli obiettivi desiderati) utilizzando le proprie chiavi pubbliche e inoltrano questi dati crittografati al cloud.
2. Dopo aver ricevuto questi dati crittografati, il cloud procede all'addestramento del modello utilizzando le chiavi pubbliche e di valutazione fornite dai proprietari dei dati.
3. Una volta che il processo di apprendimento aggiorna i pesi crittografati, il cloud restituisce tali pesi crittografati ai rispettivi proprietari dei dati.
4. Infine, i proprietari dei dati decifrano in modo collaborativo i dati ricevuti per ottenere pesi individuali aggiornati. Questo processo di decrittazione sfrutta tecniche di calcolo multi-parte sicure.

È stato proposto un altro metodo più complesso per eliminare la necessità per i proprietari dei dati di comunicare durante il processo di decrittazione. Questo metodo prevede la presenza di un'entità aggiuntiva, un centro autorizzato (AU), e impiega una combinazione di tecniche di doppia crittografia e crittografia multichiave completamente omomorfica. I passaggi sono:

1. I proprietari dei dati creano le proprie chiavi pubbliche e segrete e crittografano i dati, che vengono poi inviati al cloud. L'AU conserva anche una copia delle chiavi segrete dei proprietari dei dati.
2. Il cloud, dopo aver ricevuto i dati crittografati ma privo delle chiavi di valutazione, introduce rumore nei dati e li inoltra all'AU.
3. L'AU decifra questi dati utilizzando le chiavi segrete dei proprietari dei dati e li crittografa nuovamente con una chiave pubblica singolare prima di inviarli nuovamente al cloud.
4. Il cloud può ora calcolare pesi crittografati e aggiornati utilizzando questi dati crittografati in modo uniforme. Una volta completati, i risultati vengono inviati all'UA per la nuova crittografia utilizzando le chiavi pubbliche individuali dei proprietari dei dati.
5. Ogni proprietario dei dati riceve quindi i rispettivi risultati, che può decifrare utilizzando le proprie chiavi segrete.

È stato dimostrato che questo sistema mantiene la sicurezza semantica, a condizione che il sistema a chiave pubblica in uso sia anch'esso semanticamente sicuro. Inoltre, la privacy dei parametri di deep learning, come i pesi, rimane intatta finché il cloud e l'AU non cospirano.

Negli ultimi sviluppi, il metodo di base è stato migliorato grazie all'introduzione della crittografia multi-schema completamente omomorfica. Ciò consente ai proprietari dei dati di utilizzare diversi schemi di crittografia quando partecipano a processi di deep learning collaborativo. Inoltre, sono stati migliorati l'accuratezza di alcune funzioni di attivazione e si è registrato un aumento dell'accuratezza e della velocità complessive delle attività di classificazione rispetto ai metodi precedenti.

Apprendimento profondo collaborativo con gradienti crittografati

Un approccio innovativo nell'ambito del deep learning collaborativo prevede l'uso della crittografia omomorfica additiva. Questo metodo è stato sviluppato come miglioramento rispetto alle tecniche precedenti che utilizzavano la discesa del gradiente stocastico asincrono (ASGD) come metodo di apprendimento. Questo approccio precedente era definito "ASGD selettivo per gradienti" perché consentiva a ciascun proprietario di dati di decidere quali gradienti condividere a livello globale, garantendone la privacy. 

Esisteva anche un metodo aggiuntivo che integrava la privacy differenziale introducendo rumore di Laplace nei gradienti. Nonostante queste misure, è stato dimostrato che esisteva ancora un potenziale rischio di fuga di dati sensibili dai proprietari, anche se i valori dei gradienti subivano piccole modifiche.

Nel metodo migliorato che utilizza ASGD, il processo può essere schematizzato come segue:

1. I proprietari dei dati recuperano il peso crittografato dal cloud, decifrandolo con la loro chiave segreta.
2. Utilizzando il peso globale e i dati di addestramento, il proprietario dei dati calcola il gradiente all'interno del proprio modello di deep learning.
3. Questo gradiente, dopo essere stato moltiplicato per il tasso di apprendimento, viene crittografato utilizzando la chiave segreta del proprietario dei dati e quindi inviato nuovamente al cloud.
4. Il cloud aggiorna quindi il peso globale utilizzando i dati crittografati dei proprietari dei dati, limitando l'operazione all'aggiunta.
5. Un punto di forza significativo di questo metodo è la sua robustezza contro potenziali perdite di gradiente. Il cloud, anche se opera con intenti curiosi, non può accedere alle informazioni del gradiente. Inoltre, quando il proprietario dei dati decifra i risultati dal cloud, il risultato è perfettamente in linea con quanto ci si aspetterebbe se le operazioni cloud fossero condotte su un gradiente non crittografato.

Implicazioni di sicurezza dell'apprendimento automatico nella crittografia

L'integrazione dell'apprendimento automatico nella crittografia ha sollevato diverse preoccupazioni in termini di sicurezza. In questa sezione, presentiamo una breve sintesi delle principali scoperte recenti relative a questo argomento.

Sicurezza del Machine Learning : uno studio del 2006 ha approfondito la questione se il machine learning possa essere realmente sicuro. Questa ricerca ha introdotto una classificazione dei vari tipi di attacchi ai sistemi e alle tecniche di machine learning. Inoltre, ha presentato le difese contro questi attacchi e ha fornito un modello analitico che illustra le azioni degli aggressori.

Tassonomia ampliata degli attacchi : basandosi sul lavoro precedente, uno studio successivo ha ampliato la classificazione degli attacchi. Questa ricerca ha dettagliato come le diverse classi di attacco influiscano sui costi sia per l'attaccante che per il difensore. Ha inoltre fornito una revisione completa degli attacchi ai sistemi di apprendimento automatico, utilizzando il filtro antispam statistico SpamBayes come caso di studio.

Attacchi di evasione : uno studio del 2013 ha introdotto il concetto di attacchi di evasione. Pur presentando somiglianze con gli attacchi di integrità esplorativa, gli attacchi di evasione si concentrano sull'introduzione di dati avversari nei dati di addestramento dei sistemi basati sull'apprendimento automatico. La ricerca ha sottolineato l'importanza di valutare attentamente la resistenza dell'apprendimento automatico ai dati avversari.

Sfruttamento dei classificatori di apprendimento automatico : un altro studio del 2013 ha evidenziato un metodo in cui i classificatori di apprendimento automatico potevano essere manipolati per rivelare informazioni. Questa ricerca si è concentrata sulla divulgazione intenzionale o involontaria di informazioni statistiche dai classificatori di apprendimento automatico. È stato sviluppato un meta-classificatore unico, addestrato per hackerare altri classificatori ed estrarre trac preziose sui loro set di addestramento. Tali attacchi potrebbero essere utilizzati per creare classificatori superiori o per estrarre trac commerciali, violando i diritti di proprietà intellettuale.

Comportamento avversario : gli avversari possono potenzialmente aggirare gli approcci di apprendimento modificando il proprio comportamento in risposta a questi metodi. Sono state condotte limitate ricerche sulle tecniche di apprendimento in grado di resistere agli attacchi con robustezza garantita. È stato organizzato un workshop intitolato "Metodi di apprendimento automatico per la sicurezza informatica" per promuovere il dibattito tra esperti di sicurezza informatica e di apprendimento automatico. Il workshop ha dent diverse priorità di ricerca, che vanno dalle tradizionali applicazioni di apprendimento automatico in ambito sicurezza alle sfide di apprendimento sicuro e alla creazione di nuovi metodi formali con sicurezza garantita.

Oltre la sicurezza informatica tradizionale : il workshop ha anche dent potenziali applicazioni che vanno oltre l'ambito convenzionale della sicurezza informatica. Queste applicazioni, in cui potrebbero sorgere problemi di sicurezza in relazione ai metodi basati sui dati, includono lo spam sui social media, il rilevamento del plagio, l'identificazione dell'autore dent l'applicazione del copyright, la visione artificiale (in particolare la biometria) e l'analisi del sentiment.

Sicurezza e privacy nell'apprendimento automatico : uno studio del 2016 ha fornito un'analisi approfondita delle problematiche di sicurezza e privacy nell'apprendimento automatico. Ha introdotto un modello di minaccia dettagliato per l'apprendimento automatico, categorizzando attacchi e difese all'interno di un framework avversario. Gli ambienti avversari per l'addestramento sono stati suddivisi in due categorie principali: quelli che mirano alla privacy e quelli che mirano all'integrità. L'inferenza in ambienti avversari è stata inoltre categorizzata in avversari white-box e black-box. Lo studio si è concluso discutendo il percorso per raggiungere un modello di apprendimento automatico robusto, privato e responsabile.

Progressi passati dell'apprendimento automatico nella crittoanalisi

L'apprendimento automatico è stato sempre più integrato nel campo della crittoanalisi, soprattutto per migliorare le capacità degli attacchi side-channel. Ecco una breve panoramica delle sue applicazioni:

Introduzione precoce del machine learning : uno dei primi tentativi in ​​questo ambito ha coinvolto l'utilizzo dell'algoritmo di apprendimento Least Squares Support Vector Machine (LS-SVM). Questo metodo mirava all'implementazione software dell'Advanced Encryption Standard (AES) utilizzando il consumo energetico come canale laterale. I risultati hanno evidenziato il ruolo fondamentale dei parametri dell'algoritmo di machine learning sui risultati.

Miglioramento della precisione : un approccio successivo ha sostenuto l'uso del machine learning per aumentare la precisione degli attacchi side-channel. Poiché questi attacchi si basano sulle metriche fisiche delle implementazioni hardware dei sistemi crittografici, spesso si basano su determinati presupposti parametrici. L'introduzione del machine learning offre un modo per attenuare questi presupposti, soprattutto quando si ha a che fare con vettori di feature ad alta dimensionalità.

Reti neurali nella crittoanalisi : un altro metodo innovativo utilizzava una rete neurale per la crittoanalisi. Questa strategia addestrava la rete neurale a decifrare testi cifrati senza la chiave di crittografia, riducendo notevolmente i tempi e le coppie testo in chiaro-testo cifrato note richieste per determinati standard di crittografia.

Ampliando i lavori precedenti : basandosi sull'approccio della rete neurale sopra menzionato, un altro studio ha preso di mira un cifrario leggero. L'attenzione si è spostata sulla scoperta della chiave anziché del testo in chiaro. L'efficienza della rete neurale è stata testata sia sulla versione a round ridotto che su quella a round completo del cifrario, modificando le configurazioni di rete per massimizzare l'accuratezza.

Analisi del traffico crittografato : un altro studio ha approfondito l'analisi del traffico di rete crittografato sui dispositivi mobili. L'obiettivo era distinguere le azioni degli utenti dai dati crittografati. Monitorando passivamente il traffico crittografato e applicando tecniche avanzate di apprendimento automatico, è stato possibile dedurre le azioni degli utenti con un tasso di precisione impressionante.

Deep Learning negli attacchi a canale laterale : il deep learning è stato esplorato per perfezionare gli attacchi a canale laterale. L'obiettivo era sviluppare tecniche di profilazione sofisticate per ridurre al minimo le ipotesi negli attacchi a template. Applicando il deep learning, sono stati ottenuti risultati più precisi negli attacchi a canale laterale su determinati standard di crittografia.

Contrastare gli attacchi di apprendimento automatico : è stato introdotto un approccio unico per impedire che l'apprendimento automatico venga utilizzato come arma contro le funzioni fisiche non clonabili (PUF) nell'autenticazione leggera. Questo metodo combina un'autenticazione leggera basata su PUF con una tecnica di blocco, garantendo che l'apprendimento automatico non possa estrarre con successo trac nuova coppia sfida-risposta.

Conclusione

L'integrazione del machine learning nella crittografia ha aperto nuove strade per migliorare la sicurezza e ottimizzare i processi. Sebbene offra soluzioni promettenti, soprattutto nell'ambito del deep learning collaborativo e della crittoanalisi, presenta problematiche di sicurezza intrinseche che devono essere affrontate. Con l'evoluzione del settore, è fondamentale che ricercatori e professionisti siano consapevoli delle potenziali vulnerabilità e si impegnino per creare sistemi robusti e sicuri.