Совместное глубокое обучение: применение машинного обучения в криптографии

В области глубокого обучения бывают случаи, когда данных из одного источника недостаточно для обучения модели. Это привело к растущему интересу среди владельцев данных не только к использованию собственных данных, но и к включению данных из других источников. Один из подходов, облегчающих это, — использование облачной модели, способной обучаться на основе нескольких источников данных. Однако ключевой проблемой является защита конфиденциальной информации. 

Это привело к появлению концепции совместного глубокого обучения, которая основана на двух основных стратегиях: совместном использовании зашифрованных обучающих данных и совместном использовании зашифрованных градиентов. Главный принцип здесь — использование полностью гомоморфного шифрования для обеспечения того, чтобы все данные, включая те, которые используются для операций в облаке, оставались зашифрованными на протяжении всего процесса обучения.

Обмен зашифрованными данными для обеспечения конфиденциальности

Были разработаны инновационные подходы для обеспечения конфиденциальности при совместном глубоком обучении. Один из таких методов включает в себя как владельцев данных, так и облачную систему. Вот как это работает:

1. Владельцы данных создают открытые ключи, секретные ключи и ключи оценки. Затем они шифруют свои данные (например, обучающие данные и целевые значения) с помощью своих открытых ключей и передают эти зашифрованные данные в облако.
2. Получив эти зашифрованные данные, облачное хранилище приступает к обучению модели, используя открытый и оценочный ключи, предоставленные владельцами данных.
3. После того как процесс обучения обновит зашифрованные веса, облако вернет эти зашифрованные веса соответствующим владельцам данных.
4. Наконец, владельцы данных совместно расшифровывают полученные данные, чтобы получить индивидуальные обновленные веса. В этом процессе расшифровки используются защищенные методы многосторонних вычислений.

Был предложен ещё один, более сложный метод, позволяющий исключить необходимость обмена информацией между владельцами данных в процессе расшифровки. Он включает в себя дополнительную организацию — авторизованный центр (АЦ) — и использует комбинацию методов двойного шифрования и многоключевого полностью гомоморфного шифрования. Этапы следующие:

1. Владельцы данных создают свои открытые и секретные ключи и шифруют свои данные, которые затем отправляются в облако. AU также хранит копию секретных ключей владельцев данных.
2. Получив зашифрованные данные, но не имея ключей для их оценки, облако вносит в данные шум и пересылает их в AU.
3. AU расшифровывает эти данные, используя секретные ключи владельцев данных, и повторно шифрует их с помощью единого открытого ключа, прежде чем отправить обратно в облако.
4. Теперь облачная платформа может вычислять зашифрованные и обновленные веса, используя эти равномерно зашифрованные данные. После этого результаты отправляются в AU для повторного шифрования с использованием индивидуальных открытых ключей владельцев данных.
5. Затем каждый владелец данных получает свои результаты, которые он может расшифровать, используя свои секретные ключи.

Было показано, что эта система обеспечивает семантическую безопасность при условии, что используемая система открытых ключей также является семантически безопасной. Более того, конфиденциальность параметров глубокого обучения, таких как веса, остается неизменной до тех пор, пока облако и AU не вступают в сговор.

В последних разработках были усовершенствованы базовые методы за счет внедрения многосхемного полностью гомоморфного шифрования. Это позволяет владельцам данных использовать различные схемы шифрования при участии в совместном глубоком обучении. Кроме того, по сравнению с более ранними методами повысилась точность некоторых функций активации, а также общая точность и скорость выполнения задач классификации.

Совместное глубокое обучение с использованием зашифрованных градиентов

Инновационный подход в области совместного глубокого обучения включает использование аддитивно гомоморфного шифрования. Этот метод был разработан как усовершенствование предыдущих методов, которые использовали асинхронный стохастический градиентный спуск (ASGD) в качестве метода обучения. Этот более ранний подход назывался «градиентно-селективный ASGD», поскольку он позволял каждому владельцу данных решать, какие градиенты использовать глобально, обеспечивая тем самым свою конфиденциальность. 

Также был предложен дополнительный метод, включающий дифференциальную конфиденциальность путем добавления шума Лапласа к градиентам. Несмотря на эти меры, было показано, что даже при незначительных изменениях значений градиентов сохраняется потенциальная возможность утечки конфиденциальных данных от владельцев.

В усовершенствованном методе с использованием ASGD этот процесс можно описать следующим образом:

1. Владельцы данных извлекают зашифрованный вес из облака и расшифровывают его с помощью своего секретного ключа.
2. Используя глобальный вес и свои обучающие данные, владелец данных вычисляет градиент в своей модели глубокого обучения.
3. Этот градиент, после умножения на скорость обучения, шифруется с использованием секретного ключа владельца данных, а затем отправляется обратно в облако.
4. Затем облако обновляет глобальный вес, используя зашифрованные данные от владельцев данных, при этом операция ограничивается только сложением.
5. Важнейшее преимущество этого метода — его устойчивость к потенциальным утечкам градиента. Облако, даже если оно работает со злым умыслом, не может получить доступ к информации о градиенте. Более того, когда владелец данных расшифровывает результаты из облака, результат идеально совпадает с тем, что ожидалось бы, если бы операции в облаке проводились с незашифрованным градиентом.

Последствия применения машинного обучения в криптографии для безопасности

Интеграция машинного обучения в криптографию вызвала ряд проблем безопасности. В этом разделе мы представляем краткий обзор ключевых результатов исследований по этой теме за последнее время.

Безопасность машинного обучения : В исследовании 2006 года рассматривался вопрос о том, может ли машинное обучение быть действительно безопасным. В этом исследовании была представлена ​​классификация различных типов атак на системы и методы машинного обучения. Кроме того, были описаны методы защиты от этих атак и предложена аналитическая модель, иллюстрирующая действия злоумышленника.

Расширенная таксономия атак : Опираясь на предыдущую работу, в последующем исследовании была расширена классификация атак. В этом исследовании подробно описано, как различные классы атак влияют на издержки как для злоумышленника, так и для защитника. Также был представлен всесторонний обзор атак на системы машинного обучения с использованием статистического спам-фильтра SpamBayes в качестве примера.

Атаки с обходом защиты : В исследовании 2013 года была представлена ​​концепция атак с обходом защиты. Хотя они имеют сходство с исследовательскими атаками на целостность данных, атаки с обходом защиты сосредоточены на внедрении враждебных данных в обучающие данные систем машинного обучения. В исследовании подчеркивалась важность тщательной оценки устойчивости машинного обучения к враждебным данным.

Использование уязвимостей в классификаторах машинного обучения : В другом исследовании 2013 года был описан метод манипулирования классификаторами машинного обучения для получения информации. Это исследование было сосредоточено на непреднамеренном или преднамеренном раскрытии статистической информации из классификаторов машинного обучения. Был разработан уникальный метаклассификатор, обученный взламывать другие классификаторы и извлекать trac информацию из их обучающих наборов данных. Такие атаки могут быть использованы для создания превосходящих классификаторов или для извлечения trac тайны, нарушая права интеллектуальной собственности.

Агрессивное поведение : Злоумышленники потенциально могут обойти методы машинного обучения, изменяя свое поведение в ответ на эти методы. Исследования методов обучения, способных противостоять атакам с гарантированной устойчивостью, ограничены. Для содействия обсуждению между экспертами в области компьютерной безопасности и машинного обучения был организован семинар под названием «Методы машинного обучения для компьютерной безопасности». На семинаре были dent несколько приоритетных направлений исследований, начиная от традиционных приложений машинного обучения в сфере безопасности и заканчивая задачами безопасного обучения и созданием новых формальных методов с гарантированной безопасностью.

Выходя за рамки традиционной компьютерной безопасности : на семинаре также были dent потенциальные области применения, выходящие за рамки традиционной компьютерной безопасности. К таким областям применения, где могут возникнуть проблемы безопасности в связи с методами, основанными на данных, относятся: борьба со спамом в социальных сетях, обнаружение плагиата, идентификация авторства dent обеспечение соблюдения авторских прав, компьютерное зрение (особенно биометрия) и анализ настроений.

Безопасность и конфиденциальность в машинном обучении : В исследовании 2016 года был представлен углубленный анализ проблем безопасности и конфиденциальности в машинном обучении. В нем была представлена ​​подробная модель угроз для машинного обучения, классифицирующая атаки и средства защиты в рамках состязательного подхода. Состязательные условия для обучения были разделены на две основные категории: направленные на конфиденциальность и направленные на целостность. Вывод в состязательных условиях также был классифицирован на «белые ящики» и «черные ящики». В заключение исследования обсуждались пути к созданию надежной, конфиденциальной и подотчетной модели машинного обучения.

Прошлые достижения машинного обучения в криптоанализе

Машинное обучение все чаще интегрируется в область криптоанализа, особенно для расширения возможностей атак по побочным каналам. Вот краткий обзор его применений:

Раннее внедрение машинного обучения : Одним из первых шагов в этой области стало использование алгоритма машинного обучения на основе метода наименьших квадратов с опорными векторами (LS-SVM). Этот метод был направлен на программную реализацию расширенного стандарта шифрования (AES) с использованием энергопотребления в качестве побочного канала. Результаты показали ключевую роль параметров алгоритма машинного обучения в получаемых результатах.

Повышение точности : В дальнейшем был предложен подход, предполагающий использование машинного обучения для повышения точности атак по побочным каналам. Поскольку эти атаки основаны на физических параметрах аппаратной реализации криптосистем, они часто опираются на определенные параметрические предположения. Внедрение машинного обучения предлагает способ упростить эти предположения, особенно при работе с многомерными векторами признаков.

Нейронные сети в криптоанализе : Еще один инновационный метод, использующий нейронную сеть для криптоанализа. Эта стратегия обучила нейронную сеть расшифровывать зашифрованные тексты без ключа шифрования, что привело к значительному сокращению времени и количества известных пар открытый текст-зашифрованный текст, необходимых для определенных стандартов шифрования.

Развивая предыдущие работы : опираясь на упомянутый выше подход с использованием нейронных сетей, в другом исследовании была разработана облегченная версия шифра. Основное внимание было уделено поиску ключа, а не открытого текста. Эффективность нейронной сети была протестирована как на сокращенной, так и на полной версиях шифра, при этом конфигурации сети корректировались для максимизации точности.

Анализ зашифрованного трафика : В другом исследовании изучался анализ зашифрованного сетевого трафика на мобильных устройствах. Целью было выявление действий пользователей на основе зашифрованных данных. Путем пассивного мониторинга зашифрованного трафика и применения передовых методов машинного обучения им удалось определить действия пользователей с впечатляющей точностью.

Глубокое обучение в атаках по побочным каналам : Глубокое обучение было использовано для усовершенствования атак по побочным каналам. Цель заключалась в разработке сложных методов профилирования для минимизации допущений в атаках по шаблонам. Применение глубокого обучения позволило получить более точные результаты в атаках по побочным каналам на определенные стандарты шифрования.

Противодействие атакам машинного обучения : Был предложен уникальный подход для предотвращения использования машинного обучения против физически неклонируемых функций (PUF) в рамках облегченной аутентификации. Этот метод сочетает в себе облегченную аутентификацию на основе PUF с методом блокировки, гарантирующим, что машинное обучение не сможет успешно извлечь trac пару «запрос-ответ».

Заключение

Интеграция машинного обучения в криптографию открыла новые возможности для повышения безопасности и оптимизации процессов. Хотя она предлагает многообещающие решения, особенно в области совместного глубокого обучения и криптоанализа, существуют присущие ей проблемы безопасности, которые необходимо решать. По мере развития этой области исследователям и практикам крайне важно быть в курсе потенциальных уязвимостей и работать над созданием надежных и безопасных систем.