Um novo método de criptografia desenvolvido por pesquisadores do MIT protege os dados usados ​​em redes neurais online, sem diminuir drasticamente seus tempos de execução. Essa abordagem é promissora para o uso de redes neurais baseadas em nuvem para análise de imagens médicas e outros aplicativos que usam dados confidenciais.

A terceirização do aprendizado de máquina é uma tendência crescente na indústria. Grandes empresas de tecnologia lançaram plataformas em nuvem que realizam tarefas pesadas de computação, tal como, dizer, execução de dados por meio de uma rede neural convolucional (CNN) para classificação de imagens. Pequenas empresas e outros usuários com poucos recursos podem fazer upload de dados para esses serviços mediante o pagamento de uma taxa e obter os resultados em várias horas.

Mas e se houver vazamentos de dados privados? Nos últimos anos, pesquisadores exploraram várias técnicas de computação segura para proteger esses dados confidenciais. Mas esses métodos têm desvantagens de desempenho que tornam a avaliação (teste e validação) da rede neural lenta - às vezes até milhões de vezes mais lenta - limitando sua adoção mais ampla.

Em um artigo apresentado na Conferência de Segurança USENIX desta semana, Os pesquisadores do MIT descrevem um sistema que combina duas técnicas convencionais - criptografia homomórfica e circuitos ilegíveis - de uma maneira que ajuda as redes a operar ordens de magnitude mais rápido do que com as abordagens convencionais.

Os pesquisadores testaram o sistema, chamado GAZELLE, em tarefas de classificação de imagens de duas partes. Um usuário envia dados de imagem criptografados para um servidor online avaliando um CNN em execução no GAZELLE. Depois disto, ambas as partes compartilham informações criptografadas de um lado para outro para classificar a imagem do usuário. Ao longo do processo, o sistema garante que o servidor nunca aprenda nenhum dado carregado, enquanto o usuário nunca aprende nada sobre os parâmetros de rede. Em comparação com os sistemas tradicionais, Contudo, O GAZELLE funcionou de 20 a 30 vezes mais rápido do que os modelos de última geração, enquanto reduz a largura de banda de rede necessária em uma ordem de magnitude.

Uma aplicação promissora para o sistema é treinar CNNs para diagnosticar doenças. Hospitais poderiam, por exemplo, treine um CNN para aprender as características de certas condições médicas a partir de imagens de ressonância magnética (MRI) e identificar essas características em MRIs carregados. O hospital poderia disponibilizar o modelo na nuvem para outros hospitais. Mas o modelo é treinado, e ainda depende de, dados privados do paciente. Como não existem modelos de criptografia eficientes, este aplicativo não está totalmente pronto para o horário nobre.

"Nesse trabalho, mostramos como fazer com eficiência esse tipo de comunicação segura de duas partes, combinando essas duas técnicas de maneira inteligente, "diz o primeiro autor Chiraag Juvekar, um Ph.D. Aluno do Departamento de Engenharia Elétrica e Ciência da Computação (EECS). "O próximo passo é pegar dados médicos reais e mostrar que, mesmo quando o dimensionamos para aplicativos com os quais os usuários reais se preocupam, ainda fornece um desempenho aceitável. "

Os co-autores do artigo são Vinod Vaikuntanathan, professor associado do EECS e membro do Laboratório de Ciência da Computação e Inteligência Artificial, e Anantha Chandrakasan, reitor da Escola de Engenharia e Professor Vannevar Bush de Engenharia Elétrica e Ciência da Computação.

Maximizando o desempenho

CNNs processam dados de imagem por meio de várias camadas lineares e não lineares de computação. Camadas lineares fazem a matemática complexa, chamada álgebra linear, e atribuir alguns valores aos dados. Em um certo limite, os dados são enviados para camadas não lineares que fazem alguns cálculos mais simples, tomar decisões (como identificar características de imagem), e enviar os dados para a próxima camada linear. O resultado final é uma imagem com uma classe atribuída, como veículo, animal, pessoa, ou característica anatômica.

Abordagens recentes para proteger CNNs envolveram a aplicação de criptografia homomórfica ou circuitos ilegíveis para processar dados em uma rede inteira. Essas técnicas são eficazes na proteção de dados. "No papel, parece que resolve o problema, "Juvekar diz. Mas eles tornam as redes neurais complexas ineficientes, "para que você não os use para qualquer aplicação do mundo real."

Criptografia homomórfica, usado na computação em nuvem, recebe e executa computação em dados criptografados, chamado de texto cifrado, e gera um resultado criptografado que pode então ser descriptografado por um usuário. Quando aplicado a redes neurais, esta técnica é particularmente rápida e eficiente na computação de álgebra linear. Contudo, deve introduzir um pouco de ruído nos dados em cada camada. Em várias camadas, ruído se acumula, e a computação necessária para filtrar esse ruído torna-se cada vez mais complexa, diminuindo as velocidades de computação.

Circuitos embaralhados são uma forma de computação segura de duas partes. A técnica recebe informações de ambas as partes, faz alguns cálculos, e envia duas entradas separadas para cada parte. Dessa forma, as partes enviam dados entre si, mas eles nunca veem os dados da outra parte, apenas a saída relevante do seu lado. A largura de banda necessária para comunicar dados entre as partes, Contudo, escalas com complexidade de computação, não com o tamanho da entrada. Em uma rede neural online, esta técnica funciona bem nas camadas não lineares, onde a computação é mínima, mas a largura de banda torna-se difícil em camadas lineares pesadas em matemática.

Os pesquisadores do MIT, em vez de, combinou as duas técnicas de forma a contornar suas ineficiências.

Em seu sistema, um usuário fará upload do texto cifrado para uma CNN baseada na nuvem. O usuário deve ter a técnica de circuitos truncados em execução em seu próprio computador. A CNN faz todo o cálculo na camada linear, em seguida, envia os dados para a camada não linear. Nesse ponto, a CNN e o usuário compartilham os dados. O usuário faz alguns cálculos em circuitos ilegíveis, e envia os dados de volta para a CNN. Ao dividir e compartilhar a carga de trabalho, o sistema restringe a criptografia homomórfica para fazer matemática complexa, uma camada de cada vez, para que os dados não se tornem muito barulhentos. Também limita a comunicação dos circuitos ilegíveis apenas às camadas não lineares, onde tem um desempenho ideal.

"Estamos apenas usando as técnicas onde são mais eficientes, "Juvekar diz.

Compartilhamento secreto

A etapa final foi garantir que as camadas de circuito homomórfico e truncado mantivessem um esquema de randomização comum, chamado de "compartilhamento secreto". Neste esquema, os dados são divididos em partes separadas que são fornecidas a partes diferentes. Todas as partes sincronizam suas partes para reconstruir os dados completos.

Em GAZELLE, quando um usuário envia dados criptografados para o serviço baseado em nuvem, é dividido entre as duas partes. Adicionada a cada compartilhamento está uma chave secreta (números aleatórios) que apenas o proprietário conhece. Ao longo da computação, cada parte sempre terá alguma parte dos dados, mais números aleatórios, então parece totalmente aleatório. No final do cálculo, as duas partes sincronizam seus dados. Só então o usuário pede ao serviço baseado em nuvem sua chave secreta. O usuário pode então subtrair a chave secreta de todos os dados para obter o resultado.

"No final do cálculo, queremos que a primeira parte obtenha os resultados da classificação e a segunda parte não obtenha absolutamente nada, "Juvekar diz. Além disso, "o primeiro partido não aprende nada sobre os parâmetros do modelo."

Esta história foi republicada por cortesia do MIT News (web.mit.edu/newsoffice/), um site popular que cobre notícias sobre pesquisas do MIT, inovação e ensino.