Архитектура основана на защищенной среде выполнения (TEE)-ориентированной многосторонней вычислительной сети, дополненной байцанинским устойчивым (BFT) консенсусом. Каждый участник разворачивает Intel SGX или AMD SEV-SNP защищенные области в своей инфраструктуре, обеспечивая, чтобы сырые данные никогда не покидали организационные границы в незашифрованном виде. Система использует протоколы Безопасной агрегации (SecAgg), выполняемые внутри TEE, где градиенты шифруются с использованием временных открытых ключей перед передачей и расшифровываются только внутри аттестованных защищенных зон для агрегации.
Слой BFT консенсуса, такой как HotStuff или Tendermint, координирует раунды обучения среди децентрализованной комиссии узлов-валидаторов, обеспечивая прогресс даже в том случае, если f < n/3 узлов являются злонамеренными или скомпрометированными. Дифференциальная приватность (DP) обеспечивается через локальный DP-SGD на источниках данных в сочетании с безопасным добавлением шума внутри агрегационных защищенных зон, предоставляя математические гарантии приватности против атак на вывод членства.
Инфраструктура охватывает географически распределенные Kubernetes кластеры с использованием Конфиденциальных контейнеров (например, Kata Containers с поддержкой SGX), организованных с помощью Сервисной сетки (например, Istio с mTLS и SPIFFE идентичностями), которая направляет трафик только между аттестованными конечными точками. Удаленная аттестация через Intel DCAP или AMD SEV-SNP аттестационные отчеты проверяет целостность защищенной зоны перед обменом градиентами.
Система реализует эпохи обучения с контрольными точками в неизменяемый реестр (например, IPFS с блокчейн якорением) для возможности аудита и отката в случае сбоев.
Консорциум пяти крупных международных банков стремился совместно обучать Графовую нейронную сеть (GNN) для обнаружения сложных транснациональных схем отмывания денег. Каждый банк обладал изолированными записями о транзакциях, регулируемыми нормами GDPR и GLBA, запрещающими экспорт или централизацию сырых данных. Основной проблемой было обеспечить совместное обучение модели без раскрытия личностей клиентов или деталей транзакций конкурентам, при этом предотвращая любое манипулирование глобальной моделью или извлечение информации из общих градиентов со стороны одного банка или провайдера инфраструктуры.
Одно из потенциальных решений включало Гомоморфное шифрование (HE), где банки производили бы вычисления на зашифрованных данных напрямую. Этот подход предлагал сильные теоретические гарантии приватности, математически доказываемые без предпосылок о доверии к аппаратному обеспечению. Однако вычислительная нагрузка Полного гомоморфного шифрования (FHE) сделала стохастический градиентный спуск непрактичным, в результате чего время обучения превышало шесть месяцев для одной эпохи на их объемах данных. Задержка и вычислительная стоимость сделали это решение экономически нецелесообразным для развертывания в производстве.
Другой рассматриваемый подход использовал стандартное Федеративное обучение с централизованным сервером параметров. Хотя это сохраняло локальность данных и предлагало разумную производительность, сервер параметров мог бы выявить чувствительную информацию через атаки инверсии градиентов или порчу модели. Кроме того, архитектура представляла собой единую точку отказа и требовала абсолютного доверия к провайдеру облачных услуг третьей стороны, размещающему сервер параметров, что нарушало требования нулевого доверия между конкурирующими финансовыми учреждениями.
Выбранная архитектура реализовала сеть TEE-ориентированной MPC с использованием Azure Confidential Computing и AWS Nitro Enclaves в гибридных облачных средах. Каждый банк развернул защищенные Gramine рабочие нагрузки PyTorch внутри SGX защищенных зон, с зашифрованными градиентами с использованием ECIES перед передачей по сети. Комитет BFT узлов-валидаторов, управляемый нейтральными аудиторами третьей стороны, координировал раунды обучения с использованием протокола HotStuff. Бюджеты дифференциальной приватности строго соблюдались с использованием Google DP Library, добавляя откалиброванный шум внутри защищенных агрегационных зон. Это решение завершило обучение за 72 часа, при этом соблюдая криптографические гарантии приватности и допускающее компрометацию инфраструктуры одного из банков-участников.
Развертывание успешно выявило на 40% больше подозрительных моделей транзакций, чем индивидуальные банковские модели, что привело к получению регуляторного одобрения для совместной структуры. Система работала непрерывно в течение 18 месяцев без утечек данных или успешных атак на извлечение модели, демонстрируя, что аппаратно поддерживаемые конфиденциальные вычисления могут удовлетворить как конкурентные требования к приватности, так и соблюдение норм регулирования в условиях многосторонних конфронтаций.
Как вы предотвращаете атаки на порчу модели со стороны злонамеренного участника, когда он отправляет неправильно сформированные градиенты, не раскрывая свои сырые данные для выявления атаки?
Кандидаты часто предлагают обнаружение аномалий в расшифрованных градиентах, что нарушает требования по приватности. Правильный подход включает Доказательства с нулевыми знаниями (ZKP), в частности zk-SNARKs или Bulletproofs, которые генерируются внутри TEE участника, чтобы подтвердить, что градиенты были правильно вычислены из локального набора данных в соответствии с согласованным обучающим алгоритмом. Защищенная агрегационная зона проверяет эти доказательства перед включением градиентов в агрегацию. Кроме того, алгоритмы агрегации Multi-Krum или усеченная средняя адаптированы для TEE и могут обнаруживать статистические выбросы в зашифрованном домене без расшифровки индивидуальных вкладов, обеспечивая байцанинскую устойчивость при сохранении конфиденциальности.
Как система обрабатывает отзыв сертификата аттестации TEE участника, обнаруженного скомпрометированным во время раунда обучения?
Многие кандидаты упускают динамическую природу аттестации и доверия. Архитектура должна реализовать эпохи обучения с заменяемым консенсусом. Когда происходит отзыв аттестации (выявленный через Списки отзыва сертификатов или OCSP), слой BFT консенсуса предлагает транзакцию изменения конфигурации для исключения затронутого узла из текущей эпохи обучения. Контрольные точки происходят каждые N раундов к неизменяемому реестру (например, Hyperledger Fabric или Quorum). Система использует устойчивое к утечкам шифрование для межзонной связи, гарантируя, что компрометация текущих ключей не расшифровывает прошлые градиентные сообщения. Обучение возобновляется с последней согласованной контрольной точки минус влияние отозванного участника, сохраняя живучесть без перезапуска всей вычислительной работы.
Как вы гарантируете, что гарантии дифференциальной приватности сохраняются, если аппаратные средства TEE были скомпрометированы атаками через побочные каналы, такими как Spectre или Foreshadow?
Это вопрос глубины защиты, который часто упускается. Полагаться исключительно на безопасность аппаратного обеспечения недостаточно. Решение требует применения локальной дифференциальной приватности на источнике данных, прежде чем тензоры поступят в TEE, обеспечивая, чтобы каждый индивидуальный пример обучения нес приватный шум независимо от стадии агрегации. Криптографические методы сокрытия добавляют случайные маски к градиентам внутри TEE перед передачей в агрегатор, при этом маски удаляются только во время безопасной агрегации. Учет бюджета приватности использует теоремы композиции (расширенные или бухгалтерия моментов), отслеживаемые слоем BFT консенсуса, чтобы предотвратить переэкспозицию в нескольких раундах обучения. Даже если злоумышленник извлечет данные из скомпрометированного TEE, он получит только уже зашумленные и затемненные значения, которые сохраняют гарантии дифференциальной приватности epsilon-delta, обеспеченные математической основой, а не только аппаратным обеспечением.