Наведено метод шифрування для хмарних моделей ІІ без втрат у швидкості обробки даних
Наведено метод шифрування для хмарних моделей ІІ без втрат у швидкості обробки даних
Команда дослідників з MIT представила на конференції з комп'ютерної безпеки, організованої USENIX, комбінований метод шифрування даних для хмарних моделей штучного інтелекту. Захищена за допомогою нейромережа працює в 20-30 разів швидше за ті, що використовують традиційні техніки.
Крім того, зберігається приватність: хмарний сервер не отримує повного обсягу конфіденційних даних, а користувач залишається в невіданні щодо параметрів нейромережі. На думку дослідників, їхня система могла б стати в нагоді лікарням для діагностики хвороб за знімками МРТ з використанням хмарних ІІ-моделей.
Проблема
В хмарних обчисленнях зазвичай використовуються дві техніки: гомоморфного шифрування і метод спотворених схем (garbled circuits). Перша отримує і виконує обчислення повністю на зашифрованих даних і генерує результат, декодувати який може сам користувач. Однак згортка нейромережа при обробці створює зашумлення, яке з кожним шаром зростає і накопичується, так що необхідність фільтрувати перешкоди значно знижує швидкість обчислень.
Друга техніка є формою обчислень, для яких потрібні два учасники. Система бере їх вхідні дані, обробляє і надсилає кожному свій результат. У цьому випадку сторони обмінюються інформацією, але не мають уявлення про те, що вона означає. Однак ширина каналу зв'язку, необхідна для обміну даними, залежить від складності обчислень.
Щодо хмарних нейромереж, техніка добре показує себе тільки на нелінійних шарах, які виконують прості операції. На лінійних, які використовують складну математику, швидкість знижується до критичного рівня.
Рішення
Команда MIT запропонувала рішення, яке використовує сильні сторони цих двох методів і обходить слабкі. Так, користувач запускає на своєму пристрої систему шифрування по техніці спотворених схем і завантажує в хмарну нейромережу дані, зашифровані гомоморфним методом. Таким чином, обидва учасники процесу діляться даними: пристрій користувача виконує обчислення на викривлених схемах і надсилає дані назад нейромережі.
Поділ робочого навантаження дозволяє обійти сильне зашумлення даних на кожному шарі, що відбувається при гомоморфному шифруванні. Крім того, система обмежує зв'язок за технікою спотворених схем лише нелінійними шарами.
Захист
Фінальний штрих — захист із використанням схеми «секретного обміну». Коли користувач завантажує зашифровані дані в хмарний сервіс, вони поділяються, і кожна частина отримує секретний ключ. Під час обчислень у кожного учасника є лише порція інформації. Вони синхронізуються в кінці, і лише тоді користувач запитує у сервісу його секретний ключ, щоб дешифрувати результати.
У підсумку користувач отримує результат класифікації, але залишається в невіданні щодо параметрів моделі, а хмарний сервіс не має доступу до всього обсягу даних, що забезпечує приватність.
Нейросети вимагають великих обчислювальних потужностей для обробки даних, їх і надають хмарні сервери. Однак дослідники MIT вивчають і інший варіант: розробку чіпів нової архітектури для роботи нейромереж на самому пристрої. У лютому 2018 року вони представили прототип процесора, на якому обчислення проводяться швидше у 3–7 раз, а енергоспоживання скорочується на 95 %.
