Deep-Studying-Modelle werden in vielen Bereichen eingesetzt, von der Gesundheitsdiagnostik bis hin zu Finanzprognosen. Allerdings sind diese Modelle so rechenintensiv, dass sie den Einsatz leistungsstarker cloudbasierter Server erfordern.
Diese Abhängigkeit von Cloud Computing birgt erhebliche Sicherheitsrisiken, insbesondere in Bereichen wie dem Gesundheitswesen, wo Krankenhäuser aus Datenschutzgründen möglicherweise zögern, KI-Instruments zur Analyse vertraulicher Patientendaten einzusetzen.
Um dieses dringende Drawback anzugehen, haben MIT-Forscher ein Sicherheitsprotokoll entwickelt, das die Quanteneigenschaften von Licht nutzt, um zu gewährleisten, dass die an und von einem Cloud-Server gesendeten Daten während Deep-Studying-Berechnungen sicher bleiben.
Durch die Kodierung von Daten in das Laserlicht, das in Glasfaser-Kommunikationssystemen verwendet wird, nutzt das Protokoll die Grundprinzipien der Quantenmechanik aus und macht es Angreifern unmöglich, die Informationen unbemerkt zu kopieren oder abzufangen.
Darüber hinaus garantiert die Technik Sicherheit, ohne die Genauigkeit der Deep-Studying-Modelle zu beeinträchtigen. In Assessments zeigte der Forscher, dass sein Protokoll eine Genauigkeit von 96 Prozent beibehalten und gleichzeitig robuste Sicherheitsmaßnahmen gewährleisten konnte.
„Deep-Studying-Modelle wie GPT-4 verfügen über beispiellose Fähigkeiten, erfordern jedoch enorme Rechenressourcen. Unser Protokoll ermöglicht es Benutzern, diese leistungsstarken Modelle zu nutzen, ohne den Datenschutz ihrer Daten oder den proprietären Charakter der Modelle selbst zu gefährden“, sagt Kfir Sulimany, MIT-Postdoc im Analysis Laboratory for Electronics (RLE) und Hauptautor von a Papier zu diesem Sicherheitsprotokoll.
Sulimany wird in dem Artikel von Sri Krishna Vadlamani, einem MIT-Postdoc, unterstützt; Ryan Hamerly, ehemaliger Postdoc, jetzt bei NTT Analysis, Inc.; Prahlad Iyengar, ein Doktorand der Elektrotechnik und Informatik (EECS); und leitender Autor Dirk Englund, Professor für EECS, Hauptforscher der Quantum Photonics and Synthetic Intelligence Group und von RLE. Die Forschung wurde kürzlich auf der Jahreskonferenz zur Quantenkryptographie vorgestellt.
Eine Einbahnstraße für Sicherheit beim Deep Studying
Das cloudbasierte Berechnungsszenario, auf das sich die Forscher konzentrierten, umfasst zwei Parteien – einen Shopper, der über vertrauliche Daten wie medizinische Bilder verfügt, und einen zentralen Server, der ein Deep-Studying-Modell steuert.
Der Kunde möchte das Deep-Studying-Modell nutzen, um anhand medizinischer Bilder eine Vorhersage zu treffen, beispielsweise ob ein Affected person Krebs hat, ohne Informationen über den Patienten preiszugeben.
In diesem Szenario müssen smart Daten gesendet werden, um eine Vorhersage zu erstellen. Allerdings müssen die Patientendaten während des Prozesses sicher bleiben.
Außerdem möchte der Server keine Teile des proprietären Modells preisgeben, das ein Unternehmen wie OpenAI jahrelang und mit Millionen von Greenback aufgebaut hat.
„Beide Parteien haben etwas, das sie verbergen wollen“, fügt Vadlamani hinzu.
Bei digitalen Berechnungen könnte ein böswilliger Akteur leicht die vom Server oder Shopper gesendeten Daten kopieren.
Quanteninformationen hingegen können nicht perfekt kopiert werden. Diese Eigenschaft, das sogenannte No-Cloning-Prinzip, machen sich die Forscher in ihrem Sicherheitsprotokoll zunutze.
Für das Protokoll der Forscher kodiert der Server die Gewichte eines tiefen neuronalen Netzwerks mithilfe von Laserlicht in ein optisches Feld.
Ein neuronales Netzwerk ist ein Deep-Studying-Modell, das aus Schichten miteinander verbundener Knoten oder Neuronen besteht, die Berechnungen anhand von Daten durchführen. Die Gewichte sind die Komponenten des Modells, die die mathematischen Operationen für jede Eingabe Schicht für Schicht ausführen. Die Ausgabe einer Schicht wird in die nächste Schicht eingespeist, bis die letzte Schicht eine Vorhersage generiert.
Der Server übermittelt die Gewichtungen des Netzwerks an den Shopper, der Operationen implementiert, um ein Ergebnis basierend auf seinen privaten Daten zu erhalten. Die Daten bleiben vom Server abgeschirmt.
Gleichzeitig ermöglicht das Sicherheitsprotokoll dem Shopper, nur ein Ergebnis zu messen, und verhindert aufgrund der Quantennatur des Lichts, dass der Shopper die Gewichte kopiert.
Sobald der Shopper das erste Ergebnis in die nächste Schicht einspeist, ist das Protokoll so konzipiert, dass die erste Schicht gelöscht wird, sodass der Shopper nichts anderes über das Modell erfahren kann.
„Anstatt das gesamte vom Server eingehende Licht zu messen, misst der Shopper nur das Licht, das zum Betrieb des tiefen neuronalen Netzwerks und zum Einspeisen des Ergebnisses in die nächste Schicht erforderlich ist. Anschließend sendet der Shopper das Restlicht zur Sicherheitsprüfung zurück an den Server“, erklärt Sulimany.
Aufgrund des No-Cloning-Theorems führt der Kunde beim Messen des Ergebnisses zwangsläufig zu geringfügigen Fehlern im Modell. Wenn der Server das Restlicht vom Shopper empfängt, kann der Server diese Fehler messen, um festzustellen, ob Informationen durchgesickert sind. Wichtig ist, dass dieses Restlicht nachweislich keine Kundendaten preisgibt.
Ein praktisches Protokoll
Moderne Telekommunikationsgeräte sind für die Informationsübertragung typischerweise auf Glasfasern angewiesen, da große Bandbreiten über große Entfernungen unterstützt werden müssen. Da diese Geräte bereits über optische Laser verfügen, können die Forscher Daten für ihr Sicherheitsprotokoll ohne spezielle {Hardware} in Licht umwandeln.
Als sie ihren Ansatz testeten, stellten die Forscher fest, dass er die Sicherheit für Server und Shopper gewährleisten und gleichzeitig dem tiefen neuronalen Netzwerk eine Genauigkeit von 96 Prozent ermöglichen konnte.
Die winzigen Informationen über das Modell, die durchsickern, wenn der Shopper Vorgänge ausführt, machen weniger als 10 Prozent dessen aus, was ein Angreifer benötigen würde, um versteckte Informationen wiederherzustellen. Umgekehrt könnte ein böswilliger Server nur etwa 1 Prozent der Informationen erhalten, die er zum Diebstahl der Daten des Shoppers benötigen würde.
„Sie können sicher sein, dass es auf beide Arten sicher ist – vom Shopper zum Server und vom Server zum Shopper“, sagt Sulimany.
„Vor ein paar Jahren, als wir unsere entwickelten Demonstration verteilter maschineller Lerninferenz zwischen dem Hauptcampus des MIT und dem MIT Lincoln Laboratory wurde mir klar, dass wir etwas völlig Neues tun könnten, um Sicherheit auf der physikalischen Ebene bereitzustellen, aufbauend auf jahrelanger Arbeit in der Quantenkryptographie wurde auch auf diesem Prüfstand gezeigt“, sagt Englund. „Allerdings mussten viele tiefgreifende theoretische Herausforderungen überwunden werden, um zu sehen, ob diese Aussicht auf datenschutzgarantiertes verteiltes maschinelles Lernen verwirklicht werden konnte. Dies wurde erst möglich, als Kfir unserem Group beitrat, da Kfir sowohl die experimentellen als auch die theoretischen Komponenten auf einzigartige Weise verstand, um den einheitlichen Rahmen zu entwickeln, der dieser Arbeit zugrunde liegt.“
In Zukunft wollen die Forscher untersuchen, wie dieses Protokoll auf eine Technik namens „Federated Studying“ angewendet werden könnte, bei der mehrere Parteien ihre Daten verwenden, um ein zentrales Deep-Studying-Modell zu trainieren. Es könnte auch in Quantenoperationen anstelle der klassischen Operationen verwendet werden, die sie für diese Arbeit untersucht haben, was Vorteile sowohl bei der Genauigkeit als auch bei der Sicherheit bieten könnte.
„Diese Arbeit kombiniert auf clevere und faszinierende Weise Techniken aus Bereichen, die normalerweise nicht abgedeckt werden, insbesondere Deep Studying und Quantenschlüsselverteilung. Durch die Verwendung von Methoden aus letzterem wird ersterem eine Sicherheitsebene hinzugefügt und gleichzeitig eine scheinbar realistische Implementierung ermöglicht. Dies kann für die Wahrung der Privatsphäre in verteilten Architekturen interessant sein. Ich freue mich darauf zu sehen, wie sich das Protokoll bei experimentellen Unvollkommenheiten verhält und wie es in die Praxis umgesetzt wird“, sagt Eleni Diamanti, Forschungsdirektorin des CNRS an der Sorbonne-Universität in Paris, die nicht an dieser Arbeit beteiligt battle.
Diese Arbeit wurde teilweise vom israelischen Rat für Hochschulbildung und dem Zuckerman STEM Management Program unterstützt.