Специалисты MIT представили метод шифрования для облачных моделей ИИ без потерь в скорости обработки данных
Новости
Он объединяет две техники: гомоморфного шифрования и искаженных схем — и позволяет обеспечить не только скорость вычислений, но и приватность данных.
894 открытий911 показов
Команда исследователей из MIT представила на конференции по компьютерной безопасности, организованной USENIX, комбинированный метод шифрования данных для облачных моделей искусственного интеллекта. Защищенная с его помощью нейросеть работает в 20−30 раз быстрее тех, что используют традиционные техники.
Кроме того, сохраняется приватность: облачный сервер не получает полного объема конфиденциальных данных, а пользователь остается в неведении относительно параметров нейросети. По мнению исследователей, их система могла бы пригодиться больницам для диагностики болезней по снимкам МРТ с использованием облачных ИИ-моделей.
Проблема
В облачных вычислениях обычно используются две техники: гомоморфного шифрования и метод искаженных схем (garbled circuits). Первая получает и выполняет вычисления полностью на зашифрованных данных и генерирует результат, декодировать который может сам пользователь. Однако сверточная нейросеть при обработке создает зашумление, которое с каждым слоем растет и накапливается, так что необходимость фильтровать помехи значительно снижает скорость вычислений.
Вторая техника представляет собой форму вычислений, для которых требуется два участника. Система берет их входные данные, обрабатывает и отправляет каждому свой результат. В этом случае стороны обмениваются информацией, но не имеют представления о том, что она значит. Однако ширина канала связи, необходимая для обмена данными, напрямую зависит от сложности вычислений.
Применительно к облачным нейросетям, техника хорошо показывает себя только на нелинейных слоях, которые выполняют простые операции. На линейных, использующих сложную математику, скорость снижается до критического уровня.
Решение
Команда MIT предложила решение, которое использует сильные стороны этих двух методов и обходит слабые. Так, пользователь запускает на своем устройстве систему шифрования по технике искаженных схем и загружает в облачную нейросеть данные, зашифрованные гомоморфным методом. Таким образом, оба участника процесса делятся данными: устройство пользователя выполняет вычисления на искаженных схемах и отправляет данные обратно нейросети.
Разделение рабочей нагрузки позволяет обойти сильное зашумление данных на каждом слое, что происходит при гомоморфном шифровании. Кроме того, система ограничивает связь по технике искаженных схем лишь нелинейными слоями.
Защита
Финальный штрих — защита с использованием схемы «секретного обмена». Когда пользователь загружает зашифрованные данные в облачный сервис, они разделяются, и каждая часть получает секретный ключ. Во время вычислений у каждого участника есть только порция информации. Они синхронизируются в конце, и лишь тогда пользователь запрашивает у сервиса его секретный ключ, чтобы дешифровать результаты.
В итоге пользователь получает результат классификации, но остается в неведении насчет параметров модели, а облачный сервис не имеет доступа ко всему объему данных, что обеспечивает приватность.
Нейросети требуют больших вычислительных мощностей для обработки данных, их и предоставляют облачные серверы. Однако исследователи MIT изучают и другой вариант: разработку чипов новой архитектуры для работы нейросетей на самом устройстве. В феврале 2018 года они представили прототип процессора, на котором вычисления проводятся быстрее в 3–7 раз, а энергопотребление сокращается на 95 %.
894 открытий911 показов