Nel campo del deep learning, ci sono casi in cui i dati provenienti da un’unica fonte non sono sufficienti per addestrare un modello. Ciò ha portato a un crescente interesse tra i proprietari dei dati non solo a utilizzare i propri dati, ma anche a incorporare dati provenienti da altre fonti. Un approccio per facilitare ciò consiste nell’utilizzare un modello basato su cloud in grado di apprendere da più origini dati. Tuttavia, una preoccupazione fondamentale è la protezione delle informazioni sensibili.
Ciò ha dato origine al concetto di deep learning collaborativo, che ruota attorno a due strategie principali: la condivisione dei dati di allenamento crittografati e la condivisione dei gradienti crittografati. Il principio generale qui è l’uso della crittografia completamente omomorfica per garantire che tutti i dati, compresi quelli utilizzati per le operazioni nel cloud, rimangano crittografati durante tutto il processo di apprendimento.
Condivisione di dati crittografati per garantire la privacy
Sono stati adottati approcci innovativi per garantire la privacy durante il deep learning collaborativo. Uno di questi metodi coinvolge sia i proprietari dei dati che un sistema basato su cloud. Ecco come funziona:
- I proprietari dei dati creano chiavi pubbliche, chiavi segrete e chiavi di valutazione. Quindi crittografano i loro dati (come i dati di addestramento e gli obiettivi desiderati) utilizzando le loro chiavi pubbliche e inoltrano questi dati crittografati al cloud.
- Il cloud, dopo aver ricevuto questi dati crittografati, procede all'addestramento del modello utilizzando le chiavi pubbliche e di valutazione fornite dai proprietari dei dati.
- Una volta che il processo di apprendimento aggiorna i pesi crittografati, il cloud restituisce questi pesi crittografati ai rispettivi proprietari dei dati.
- Infine, i proprietari dei dati decodificano in modo collaborativo i dati ricevuti per ottenere pesi aggiornati individuali. Questo processo di decrittazione sfrutta tecniche di calcolo multilaterali sicure.
È stato proposto un altro metodo più complesso per eliminare la necessità che i proprietari dei dati comunichino durante il processo di decrittazione. Ciò coinvolge un'entità aggiuntiva, un centro autorizzato (AU), e impiega una combinazione di tecniche di doppia crittografia e crittografia multichiave completamente omomorfica. I passaggi sono:
- I proprietari dei dati creano le proprie chiavi pubbliche e segrete e crittografano i propri dati, che vengono quindi inviati al cloud. L'UA conserva inoltre una copia delle chiavi segrete dei proprietari dei dati.
- Il cloud, dopo aver ricevuto i dati crittografati ma privo delle chiavi di valutazione, introduce rumore nei dati e li inoltra all'UA.
- L'AU decrittografa questi dati utilizzando le chiavi segrete dei proprietari dei dati e li crittografa nuovamente con una chiave pubblica singolare prima di inviarli nuovamente al cloud.
- Il cloud ora può calcolare pesi crittografati e aggiornati utilizzando questi dati crittografati in modo uniforme. Una volta terminato, i risultati vengono inviati all'AU per la nuova crittografia utilizzando le chiavi pubbliche individuali dei proprietari dei dati.
- Ciascun proprietario dei dati riceve quindi i rispettivi risultati, che può decrittografare utilizzando le proprie chiavi segrete.
È stato dimostrato che questo sistema mantiene la sicurezza semantica, a condizione che anche il sistema a chiave pubblica in uso sia semanticamente sicuro. Inoltre, la privacy dei parametri di deep learning, come i pesi, rimane intatta finché il cloud e l’AU non cospirano.
Negli ultimi progressi sono stati apportati miglioramenti al metodo di base introducendo la crittografia multischema completamente omomorfica. Ciò consente ai proprietari dei dati di utilizzare vari schemi di crittografia quando partecipano al deep learning collaborativo. Inoltre, sono stati migliorati l'accuratezza di alcune funzioni di attivazione e un aumento dell'accuratezza e della velocità complessive delle attività di classificazione rispetto ai metodi precedenti.
Deep learning collaborativo con gradienti crittografati
Un approccio innovativo nel campo del deep learning collaborativo prevede l’uso della crittografia omomorfica additiva. Questo metodo è stato sviluppato come miglioramento rispetto alle tecniche precedenti che utilizzavano la discesa stocastica asincrona del gradiente (ASGD) come metodo di apprendimento. Questo approccio precedente era chiamato “ASGD selettivo dei gradienti” perché consentiva a ciascun proprietario dei dati di decidere quali gradienti condividere a livello globale, garantendone la privacy.
Esisteva anche un metodo aggiuntivo che incorporava la privacy differenziale introducendo il rumore di Laplace nei gradienti. Nonostante queste misure, è stato dimostrato che esisteva ancora il rischio di fuga di dati sensibili da parte dei proprietari, anche se i valori del gradiente avevano subito piccole modifiche.
Nel metodo migliorato che utilizza ASGD, il processo può essere delineato come:
- I proprietari dei dati recuperano il peso crittografato dal cloud, decrittografandolo con la loro chiave segreta.
- Utilizzando il peso globale e i dati di addestramento, il proprietario dei dati calcola il gradiente all'interno del proprio modello di deep learning.
- Questo gradiente, dopo essere stato moltiplicato per il tasso di apprendimento, viene crittografato utilizzando la chiave segreta del proprietario dei dati e quindi rinviato al cloud.
- Il cloud aggiorna quindi il peso globale utilizzando i dati crittografati dei proprietari dei dati, limitando l'operazione all'aggiunta.
- Un aspetto significativo di questo metodo è la sua robustezza contro potenziali perdite di gradiente. La nuvola, anche se opera con uno scopo curioso, non può accedere alle informazioni del gradiente. Inoltre, quando il proprietario dei dati decodifica i risultati dal cloud, il risultato si allinea perfettamente con quello che ci si aspetterebbe se le operazioni cloud fossero condotte su un gradiente non crittografato.
Implicazioni sulla sicurezza dell'apprendimento automatico nella crittografia
L’integrazione dell’apprendimento automatico nella crittografia ha sollevato diversi problemi di sicurezza. In questa sezione presentiamo un breve riassunto dei principali risultati relativi a questo argomento negli ultimi tempi.
Sicurezza del machine learning : uno studio del 2006 ha approfondito la questione se il machine learning possa essere veramente sicuro. Questa ricerca ha introdotto una classificazione di varie tipologie di attacchi ai sistemi e alle tecniche di machine learning. Inoltre, presentava le difese contro questi attacchi e forniva un modello analitico che illustrava gli sforzi dell'aggressore.
Tassonomia ampliata degli attacchi : basandosi sul lavoro precedente, uno studio successivo ha ampliato la classificazione degli attacchi. Questa ricerca ha dettagliato in che modo le diverse classi di attacco incidono sui costi sia per l’attaccante che per il difensore. Ha inoltre fornito una revisione completa degli attacchi ai sistemi di apprendimento automatico, utilizzando il filtro antispam statistico SpamBayes come caso di studio.
Attacchi di evasione : uno studio del 2013 ha introdotto il concetto di attacchi di evasione. Pur presentando somiglianze con gli attacchi esplorativi all’integrità, gli attacchi di evasione si concentrano sull’introduzione di dati dell’avversario nei dati di addestramento dei sistemi basati sull’apprendimento automatico. La ricerca ha sottolineato l'importanza di valutare attentamente la resistenza dell'apprendimento automatico ai dati contraddittori.
Sfruttare i classificatori di machine learning : un altro studio del 2013 ha evidenziato un metodo in cui i classificatori di machine learning potrebbero essere manipolati per rivelare informazioni. Questa ricerca era incentrata sulla divulgazione involontaria o intenzionale di informazioni statistiche provenienti da classificatori di apprendimento automatico. È stato sviluppato un meta-classificatore unico, addestrato per hackerare altri classificatori ed estrarre trac preziose sui loro set di addestramento. Tali attacchi potrebbero essere utilizzati per creare classificatori superiori o per estrarre trac commerciali, violando i diritti di proprietà intellettuale.
Comportamento contraddittorio : gli avversari possono potenzialmente aggirare gli approcci di apprendimento alterando il loro comportamento in risposta a questi metodi. L’esplorazione delle tecniche di apprendimento in grado di resistere agli attacchi con robustezza garantita è stata limitata. È stato organizzato un workshop intitolato “Metodi di machine learning per la sicurezza informatica” per favorire il dibattito tra gli esperti di sicurezza informatica e di machine learning. Il workshop ha dent diverse priorità di ricerca, che vanno dalle tradizionali applicazioni di machine learning in ambito sicurezza alle sfide di apprendimento sicuro e alla creazione di nuovi metodi formali con sicurezza garantita.
Oltre la tradizionale sicurezza informatica : il workshop ha inoltre dent potenziali applicazioni che vanno oltre l'ambito convenzionale della sicurezza informatica. Queste applicazioni, in cui potrebbero sorgere problemi di sicurezza in relazione ai metodi basati sui dati, includono lo spam sui social media, il rilevamento del plagio, l’identificazione dell’autore dent l’applicazione del copyright, la visione artificiale (in particolare la biometria) e l’analisi del sentiment.
Sicurezza e privacy nell'apprendimento automatico : uno studio del 2016 ha fornito un'analisi approfondita dei problemi di sicurezza e privacy nell'apprendimento automatico. Ha introdotto un modello di minaccia dettagliato per l’apprendimento automatico, classificando attacchi e difese all’interno di un quadro contraddittorio. Le impostazioni contraddittorie per la formazione sono state divise in due categorie principali: quelle mirate alla privacy e quelle mirate all’integrità. Anche l’inferenza in contesti contraddittori è stata classificata in avversari a scatola bianca e a scatola nera. Lo studio si è concluso discutendo il percorso per realizzare un modello di machine learning robusto, privato e responsabile.
Progressi passati dell'apprendimento automatico nella crittoanalisi
L’apprendimento automatico è stato sempre più integrato nel campo della crittoanalisi, soprattutto nel potenziamento delle capacità degli attacchi side-channel. Ecco una panoramica sintetica delle sue applicazioni:
Incorporazione anticipata dell'apprendimento automatico : una delle iniziative iniziali in questo dominio prevedeva l'uso dell'algoritmo di apprendimento Least Squares Support Vector Machine (LS-SVM). Questo metodo mirava all'implementazione software dell'Advanced Encryption Standard (AES) utilizzando il consumo energetico come canale laterale. I risultati hanno evidenziato il ruolo fondamentale dei parametri dell'algoritmo di apprendimento automatico sui risultati.
Miglioramento della precisione : un approccio successivo prevedeva l’uso dell’apprendimento automatico per aumentare la precisione degli attacchi sul canale laterale. Poiché questi attacchi si basano sulle metriche fisiche delle implementazioni hardware del sistema crittografico, spesso si basano su determinati presupposti parametrici. L’introduzione dell’apprendimento automatico offre un modo per allentare questi presupposti, soprattutto quando si ha a che fare con vettori di caratteristiche ad alta dimensionalità.
Reti neurali nella crittoanalisi : un altro metodo innovativo utilizza una rete neurale per la crittoanalisi. Questa strategia ha addestrato la rete neurale a decrittografare i testi cifrati senza la chiave di crittografia, portando a una notevole riduzione del tempo e delle coppie note testo in chiaro-testo cifrato richieste per determinati standard di crittografia.
Ampliando il lavoro precedente : basandosi sull'approccio della rete neurale sopra menzionato, un altro studio ha preso di mira un codice leggero. L'attenzione si è spostata sulla scoperta della chiave invece che del testo in chiaro. L'efficienza della rete neurale è stata testata sia sulla versione a round ridotto che su quella a round completo del codice, modificando le configurazioni di rete per massimizzare la precisione.
Analisi del traffico crittografato : uno studio diverso ha approfondito l'analisi del traffico di rete crittografato sui dispositivi mobili. L'obiettivo era distinguere le azioni dell'utente dai dati crittografati. Monitorando passivamente il traffico crittografato e applicando tecniche avanzate di apprendimento automatico, potrebbero dedurre le azioni dell’utente con un tasso di precisione impressionante.
Deep Learning negli attacchi del canale laterale : è stato esplorato il deep learning per perfezionare gli attacchi del canale laterale. L'obiettivo era sviluppare sofisticate tecniche di profilazione per ridurre al minimo le ipotesi negli attacchi modello. Applicando il deep learning, sono stati ottenuti risultati più precisi negli attacchi side-channel su determinati standard di crittografia.
Contrastare gli attacchi legati al machine learning : è stato introdotto un approccio unico per impedire che il machine learning venga utilizzato come arma contro le funzioni fisiche non clonabili (PUF) nell'autenticazione leggera. Questo metodo combinava un'autenticazione leggera basata su PUF con una tecnica di blocco, garantendo che l'apprendimento automatico non potesse estrarre con successo trac nuova coppia sfida-risposta.
Conclusione
L’integrazione dell’apprendimento automatico nella crittografia ha aperto nuove strade per migliorare la sicurezza e ottimizzare i processi. Sebbene offra soluzioni promettenti, soprattutto nel deep learning collaborativo e nella crittoanalisi, esistono problemi di sicurezza intrinseci che devono essere affrontati. Man mano che il settore si evolve, è fondamentale che ricercatori e professionisti siano consapevoli delle potenziali vulnerabilità e lavorino per creare sistemi robusti e sicuri.
