Architektura opiera się na Środowisku Zaufania (TEE)-opartym Obliczeniu Wielopartyjnym (MPC) połączonym z Konsensusem Odporności Bizantyjskiej (BFT). Każdy uczestnik wdraża Intel SGX lub AMD SEV-SNP w enclavach w swojej infrastrukturze, zapewniając, że surowe dane nigdy nie opuszczają granic organizacyjnych niezaszyfrowane. System korzysta z protokołów Bezpiecznej Agregacji (SecAgg) wykonywanych wewnątrz TEE, gdzie gradienty są szyfrowane za pomocą epizodycznych kluczy publicznych przed transmisją i odszyfrowywane wyłącznie w poświadczonych enclavach do agregacji.
Warstwa konsensusu BFT, taka jak HotStuff lub Tendermint, koordynuje rundy treningu wśród zdecentralizowanej komisji węzłów walidacyjnych, zapewniając postęp nawet jeśli f < n/3 węzłów jest złośliwych lub skompromitowanych. Prywatność różnicowa (DP) jest egzekwowana poprzez lokalne DP-SGD w źródłach danych połączoną z bezpiecznym wstrzykiwaniem hałasu wewnątrz enclavach agregacyjnych, zapewniając matematyczne gwarancje prywatności przed atakami wnioskowania członkostwa.
Infrastruktura rozciąga się na geograficznie rozproszone klastry Kubernetes używające Poufnych Kontenerów (takich jak Kata Containers z obsługą SGX), orkiestrując przez Sieć Usług (np. Istio z mTLS i tożsamościami SPIFFE), które przekierowują ruch tylko między poświadczonymi punktami końcowymi. Zdalna Poświadczenie za pomocą raportów poświadczeniowych Intel DCAP lub AMD SEV-SNP weryfikuje integralność enclav przed wymianą gradientów.
System wdraża rundy treningowe oparte na epokach z punktami kontrolnymi na Niezmiennym Rejestrze (np. IPFS z zakotwiczeniem w Blockchain) dla audytowalności i możliwości przywrócenia w przypadku awarii.
Konsorcjum pięciu dużych międzynarodowych banków miało na celu wspólne trenowanie Sieci Neuronowej Grafu (GNN) do wykrywania zaawansowanych schematów prania pieniędzy przekraczających granice. Każdy bank posiadał odizolowane rekordy transakcji regulowane przez przepisy GDPR i GLBA, zabraniające eksportu lub centralizacji surowych danych. Głównym wyzwaniem było umożliwienie wspólnego trenowania modeli bez ujawniania tożsamości klientów lub szczegółów transakcji konkurentom, jednocześnie zapobiegając manipulacji globalnym modelem przez jakikolwiek pojedynczy bank lub dostawcę infrastruktury.
Jednym z potencjalnych rozwiązań było Szyfrowanie Homomorficzne (HE), gdzie banki mogłyby przeprowadzać obliczenia na zaszyfrowanych danych bezpośrednio. Podejście to oferowało silne teoretyczne gwarancje prywatności, które można matematycznie udowodnić bez założeń o zaufaniu do sprzętu. Jednak obciążenie obliczeniowe W pełni Homomorficznego Szyfrowania (FHE) sprawiło, że stochastyczny spadek gradientowy stał się niepraktyczny, co prowadziło do czasów treningu przekraczających sześć miesięcy dla jednej epoki przy ich wolumenach zestawów danych. Opóźnienie i koszty obliczeniowe sprawiły, że to rozwiązanie było ekonomicznie niewykonalne do wdrożenia w produkcji.
Innym rozważanym podejściem wykorzystano standardowe Uczenie Federacyjne z centralnym serwerem parametrów. Chociaż to zachowało lokalność danych i oferowało rozsądne wyniki, serwer parametrów mógłby wydedukować wrażliwe informacje poprzez ataki inwersji gradientów lub zarażanie modelu. Dodatkowo architektura ta przedstawiała pojedynczy punkt awarii i wymagała całkowitego zaufania do zewnętrznego dostawcy chmury, który hostował serwer parametrów, naruszając wymagania zerowego zaufania między konkurującymi instytucjami finansowymi.
Wybrana architektura zrealizowała sieć MPC opartą na TEE wykorzystując Azure Confidential Computing i AWS Nitro Enclaves w środowiskach hybrydowych. Każdy bank wdrożył szkolenie w PyTorch chronione przez Gramine wewnątrz enclav SGX, z gradientami szyfrowanymi za pomocą ECIES przed transmisją w sieci. Komisja BFT węzłów walidacyjnych, zarządzana przez neutralnych audytorów zewnętrznych, koordynowała rundy treningowe przy użyciu protokołu HotStuff. Budżety Prywatności Różnicowej były ściśle egzekwowane przy użyciu Google DP Library, dodając wyważony hałas wewnątrz bezpiecznych enclav agregacji. To rozwiązanie osiągnęło zakończenie treningu w ciągu 72 godzin, zachowując gwarancje prywatności kryptograficznej i tolerując kompromitację infrastruktury jednego uczestniczącego banku.
Wdrożenie z powodzeniem zidentyfikowało 40% więcej podejrzanych schematów transakcyjnych niż indywidualne modele bankowe, co skutkowało zatwierdzeniem regulacyjnym dla wspólnej struktury. System działał nieprzerwanie przez 18 miesięcy bez naruszeń danych ani udanych ataków na wydobycie modelu, co udowodniło, że obliczenia poufne oparte na sprzęcie mogą zaspokoić zarówno wymagania dotyczące prywatności w konkurencji, jak i zgodność z przepisami w nieprzyjaznych środowiskach wielopartyjnych.
Jak zapobiegasz złośliwemu uczestnikowi przed przeprowadzaniem ataku na truciznę modelu przez przesyłanie wadliwych gradientów bez ujawniania ich surowych danych w celu wykrycia ataku?
Kandydaci często proponują wykrywanie anomalii na odszyfrowanych gradientach, co narusza ograniczenia prywatności. Odpowiednie podejście obejmuje Dowody Bez Znajomości (ZKPs), a konkretnie zk-SNARKs lub Bulletproofs, generowane wewnątrz TEE uczestnika, aby poświadczyć, że gradienty zostały poprawnie obliczone z lokalnego zestawu danych według uzgodnionego algorytmu uczenia. Enklawa bezpiecznej agregacji weryfikuje te dowody przed włączeniem gradientów do agregacji. Dodatkowo, algorytmy agregacji Multi-Krum lub średnia przycinana, dostosowane do TEE, wykrywają statystyczne odstępstwa w zaszyfrowanej domenie bez odszyfrowywania indywidualnych wkładów, zapewniając odporność bizantyjską przy jednoczesnym zachowaniu poufności.
Jak system radzi sobie z unieważnieniem certyfikatu poświadczenia TEE uczestnika, który został uznany za skompromitowany w trakcie rundy treningowej?
Wielu kandydatów pomija dynamiczny charakter poświadczenia i zaufania. Architektura musi wdrożyć trening oparty na epokach z wtyczkowym konsensusem. Kiedy dochodzi do unieważnienia poświadczenia (wykryte za pomocą List Unieważnienia Certyfikatów lub OCSP), warstwa konsensusu BFT proponuje transakcję zmieniającą konfigurację, aby usunąć dotknięty węzeł z bieżącej epoki treningowej. Punkt kontrolny występuje co N rund, aby niezmiennego rejestru (np. Hyperledger Fabric lub Quorum). System stosuje szyfrowanie o zabezczonej przyszłości do komunikacji między enclavami, zapewniając, że kompromitacja bieżących kluczy nie odszyfrowuje przeszłego ruchu gradientów. Trening wznawia się z ostatniego uzgodnionego punktu kontrolnego minus wpływ unieważnionego uczestnika, zachowując żywotność bez ponownego uruchamiania całej obliczeń.
Jak zapewniasz, że gwarancje prywatności różnicowej są utrzymywane, jeśli sprzęt TEE jest skompromitowany przez ataki kanału bocznego, takie jak Spectre czy Foreshadow?
To pytanie dotyczy obrony w głębokości, które często umyka uwadze. Poleganie wyłącznie na bezpieczeństwie sprzętowym jest niewystarczające. Rozwiązanie wymaga stosowania lokalnej prywatności różnicowej stosowanej w źródle danych przed tym, jak tensory wejdą do TEE, zapewniając, że każdy pojedynczy przykład treningowy niesie hałas prywatności niezależnie od etapu agregacji. Techniki kryptograficznego oślepiania dodają losowe maski do gradientów wewnątrz TEE przed przesłaniem do agregatora, maske usuwane są tylko podczas bezpiecznej agregacji. Rachunek budżetu prywatności wykorzystuje teoremy kompozycyjne (zaawansowany lub księgowy momentu), śledzone przez warstwę konsensusu BFT, aby zapobiec nadmiernemu ujawnieniu w wielu rundach treningowych. Nawet jeśli atakujący uzyska dane z kompromitowanego TEE, otrzymuje tylko już zahałasowane, oślepione wartości, które utrzymują zapewnienia prywatności epsilon-delta egzekwowane przez struktury matematyczne, a nie tylko sprzęt.