L'architecture repose sur un maillage de Calcul Multi-Parties (MPC) basé sur un Environnement d'Exécution de Confiance (TEE) combiné avec un consensus Tolérant aux Pannes de Byzantine (BFT). Chaque participant déploie des enclaves Intel SGX ou AMD SEV-SNP au sein de son propre infrastructure, garantissant que les données brutes ne quittent jamais les limites organisationnelles non chiffrées. Le système utilise des protocoles d'Agrégation Securisée (SecAgg) exécutés à l'intérieur des TEE, où les gradients sont chiffrés avec des clés publiques éphémères avant transmission et ne sont déchiffrés que dans des enclaves attestées pour l'agrégation.
Un niveau de consensus BFT, tel que HotStuff ou Tendermint, coordonne les tours d'entraînement parmi un comité décentralisé de nœuds validateurs, garantissant la progression même si f < n/3 nœuds sont malveillants ou compromis. La Confidentialité Différentielle (DP) est appliquée grâce au DP-SGD local aux sources de données, combiné à une injection de bruit sécurisée à l'intérieur des enclaves d'agrégation, fournissant des garanties mathématiques de confidentialité contre les attaques d'inférence d'appartenance.
L'infrastructure s'étend sur des clusters Kubernetes géographiquement distribués utilisant des Conteneurs Confidentiels (comme des Kata Containers avec support SGX), orchestrés par un Service Mesh (par exemple, Istio avec mTLS et identités SPIFFE) qui dirige le trafic uniquement entre des points d'extrémité attestés. L'Attestation à Distance via des rapports d'attestation Intel DCAP ou AMD SEV-SNP valide l'intégrité des enclaves avant tout échange de gradients.
Le système met en œuvre des tours d'entraînement basés sur des époques avec checkpointing sur un Grand Livre Immutable (par exemple, IPFS avec un ancrage Blockchain) pour l'auditabilité et les capacités de rétrogradation en cas de défaillances.
Un consortium de cinq grandes banques internationales visait à former collaborativement un Réseau de Neurones Graphiques (GNN) pour détecter des anneaux sophistiqués de blanchiment d'argent transfrontalier. Chaque banque possédait des enregistrements de transactions isolés régis par les réglementations GDPR et GLBA, interdisant l'exportation ou la centralisation des données brutes. Le principal défi était de permettre un entraînement de modèle commun sans révéler les identités des clients ou les détails des transactions aux concurrents, tout en prévenant qu'une seule banque ou un fournisseur d'infrastructure n'exploite le modèle global ou n'extrait des informations des gradients partagés.
Une solution potentielle impliquait le Chiffrement Homomorphe (HE), où les banques calculeraient directement sur des données chiffrées. Cette approche offrait de fortes garanties de confidentialité théoriques mathématiquement prouvables sans hypothèses de confiance matérielle. Cependant, la surcharge computationnelle du Chiffrement Homomorphe Complet (FHE) rendait la descente de gradient stochastique impraticable, entraînant des temps d'entraînement dépassant six mois pour une seule époque sur leurs volumes de données. La latence et le coût computationnel rendaient cette solution économiquement non viable pour un déploiement en production.
Une autre approche considérée utilisait l'Apprentissage Fédéré standard avec un serveur centralisé de paramètres. Bien que cela préserve la localité des données et offre des performances raisonnables, le serveur de paramètres pourrait inférer des informations sensibles grâce aux attaques d'inversion de gradient ou de contamination de modèle. De plus, l'architecture présentait un point unique de défaillance et nécessitait une confiance absolue dans le fournisseur de cloud tiers hébergeant le serveur de paramètres, violant les exigences de non-confiance entre les institutions financières concurrentes.
L'architecture sélectionnée a mis en œuvre un réseau MPC basé sur TEE utilisant Azure Confidential Computing et AWS Nitro Enclaves dans des environnements cloud hybrides. Chaque banque a déployé des charges de travail d'entraînement PyTorch protégées par Gramine à l'intérieur d'enclaves SGX, avec des gradients chiffrés à l'aide de ECIES avant transmission sur le réseau. Un comité BFT de nœuds validateurs, opéré par des auditeurs tiers neutres, a coordonné les tours d'entraînement en utilisant le protocole HotStuff. Les budgets de Confidentialité Différentielle étaient strictement appliqués grâce à la Google DP Library, ajoutant du bruit calibré à l'intérieur des enclaves d'agrégation sécurisée. Cette solution a permis de terminer l'entraînement en 72 heures tout en maintenant des garanties de confidentialité cryptographique et en tolérant le compromis de l'infrastructure d'une banque participante.
Le déploiement a réussi à identifier 40 % de modèles de transaction suspects en plus que les modèles individuels des banques, entraînant une approbation réglementaire pour le cadre collaboratif. Le système a fonctionné en continu pendant 18 mois sans violations de données ni attaques réussies d'extraction de modèle, démontrant que l'informatique confidentielle soutenue par du matériel pouvait répondre à la fois aux exigences de confidentialité concurrentielle et à la conformité réglementaire dans des environnements multi-partis adverses.
Comment empêchez-vous un participant malveillant d'effectuer une attaque de contamination de modèle en soumettant des gradients mal formés sans révéler leurs données brutes pour détecter l'attaque ?
Les candidats proposent souvent la détection d'anomalies sur les gradients déchiffrés, ce qui viole la contrainte de confidentialité. L'approche correcte implique des Preuves à Connaissance Nulle (ZKPs), spécifiquement des zk-SNARKs ou des Bulletproofs, générées à l'intérieur du TEE du participant pour attester que les gradients ont été calculés correctement à partir de l'ensemble de données local conformément à l'algorithme d'apprentissage convenu. L'enclave d'agrégation sécurisée vérifie ces preuves avant d'inclure les gradients dans l'agrégation. De plus, les algorithmes d'agrégation Multi-Krum ou de moyenne coupée adaptés pour les TEE détectent les valeurs aberrantes statistiques dans le domaine chiffré sans déchiffrer les contributions individuelles, garantissant la robustesse byzantine tout en préservant la confidentialité.
Comment le système gère-t-il la révocation du certificat d'attestation TEE d'un participant découvert comme compromis en cours de tour d'entraînement ?
De nombreux candidats négligent la nature dynamique de l'attestation et de la confiance. L'architecture doit mettre en œuvre un entraînement basé sur des époques avec un consensus interchangeable. Lorsque la révocation d'attestation se produit (détectée via des Listes de Révocation de Certificats ou OCSP), la couche de consensus BFT propose une transaction de changement de configuration pour retirer le nœud affecté de l'époque d'entraînement actuelle. Un checkpointing se produit tous les N tours sur un grand livre immutable (par exemple, Hyperledger Fabric ou Quorum). Le système utilise un chiffrement sécurisé pour l'avenir pour la communication inter-enclaves, garantissant que le compromis des clés actuelles ne déchiffre pas le trafic de gradient passé. L'entraînement reprend depuis le dernier point de contrôle convenu moins l'influence du participant révoqué, maintenant la vivacité sans redémarrer l'ensemble du calcul.
Comment vous assurez-vous que les garanties de confidentialité différentielle se maintiennent si le matériel TEE sous-jacent est compromis par des attaques par canaux auxiliaires comme Spectre ou Foreshadow ?
Cela représente une question de défense à plusieurs niveaux souvent manquée. S'appuyer uniquement sur la sécurité matérielle est insuffisant. La solution nécessite une confidentialité différentielle locale appliquée à la source de données avant l'entrée de tenseurs dans le TEE, s'assurant que chaque exemple de formation individuel porte un bruit de confidentialité indépendant de l'étape d'agrégation. Des techniques de masquage cryptographique ajoutent des masques aléatoires aux gradients à l'intérieur du TEE avant transmission à l'agrégateur, les masques étant retirés uniquement lors de l'agrégation sécurisée. Le comptage du budget de confidentialité utilise des théorèmes de composition (advanced ou moments accountant) suivis par la couche de consensus BFT pour éviter une surexposition à travers plusieurs tours d'entraînement. Même si un attaquant extrait des données d'un TEE compromis, il n'obtient que des valeurs déjà bruitées et masquées qui maintiennent les garanties de confidentialité différentielle epsilon-delta imposées par le cadre mathématique plutôt que par le matériel seul.