下载本文的 PDF 版本 PDF

可信赖的 AI 使用机密联邦学习

联邦学习和机密计算并非相互竞争的技术。

Jinnan Guo、Peter Pietzuch、Andrew Paverd 和 Kapil Vaswani

人工智能革命正在重塑各行各业,并改变我们生活、工作以及与技术互动的方式。从 AI 聊天机器人和个性化推荐系统,到在城市街道中穿梭的自动驾驶汽车,人工智能驱动的创新正在各处涌现。随着企业和组织利用 AI 来简化运营、优化流程和推动创新,经济增长和社会进步的潜力是巨大的。

然而,在这快速进步的过程中,确保 AI 的可信赖性至关重要。可信赖的 AI 系统必须展现出某些特性,例如可靠性、公平性、透明度、问责制和稳健性。只有这样,AI 系统才能被信任以合乎伦理且有效地运行,而不会造成伤害或歧视。

可信赖 AI 的一个关键方面是隐私。训练精确的机器学习模型通常需要大型、多样化和具有代表性的数据集。虽然在某些领域,模型可以完全使用公开可用的数据集进行训练,但在其他情况下,则需要访问私有数据。例如,训练用于医疗诊断的模型可能需要敏感的患者数据。同样,训练用于检测欺诈性金融交易的模型需要来自金融机构的详细交易数据。必须保护此类数据免受未经授权的访问、操纵或滥用,以维护模型完整性并防止偏差。

因此,人们对隐私保护机器学习技术(如联邦学习 (FL))的兴趣日益浓厚。17 联邦学习是一种分布式机器学习范式,它能够在多个持有本地训练数据的客户端之间训练模型,而无需直接交换数据。在典型的联邦学习设置中,中央聚合器通过向多个客户端分发初始模型来启动训练作业。每个客户端在其数据集上本地训练模型,并计算模型的更新(也称为梯度更新)。然后,客户端将其更新发送到中央聚合器,中央聚合器使用合适的聚合函数聚合这些更新并更新其模型。然后,它通过将更新后的模型发送给客户端来启动另一个 epoch,客户端执行本地训练。此过程重复进行,直到满足双方商定的终止标准(例如,模型收敛到可接受的损失值)。

联邦学习可以与差分隐私7 相结合,以提供强大的隐私保证。24 在这种设置中,每个客户端在将更新发送到聚合器之前,会基于隐私预算在本地向模型更新添加适当的噪声,这限制了模型记住训练数据集中各个点的概率。

虽然联邦学习阻止了原始训练数据跨信任域的流动,但它引入了一系列新的信任假设和安全挑战。参与联邦学习的客户端必须信任中央聚合器交付安全代码、仅包含可信客户端、遵循聚合协议,以及仅将模型用于双方商定的目的。此外,聚合器必须信任客户端提供高质量的数据、不篡改训练协议,并保护模型的知识产权。这些信任假设在现实世界中通常难以满足,尤其是在对抗性环境中,客户端可能被攻破或串通以破坏系统的安全和隐私保证。因此,许多联邦学习部署被发现容易受到攻击也就不足为奇了,包括模型中毒、数据中毒和推理攻击8,10,22 (见图 1)。攻击可能由客户端、聚合器或外部人员执行,并发生在模型训练或推理期间。

Trustworthy AI using Confidential Federated Learning

 

许多此类攻击可归因于恶意参与者能够违反其控制范围内的数据和计算的机密性或完整性(例如,通过中毒数据集或梯度更新来影响模型的行为)。这些攻击不仅限于训练时的聚合器或客户端——模型提取或重建等攻击可能由在推理时具有 API 访问训练模型的实体执行。因此,在联邦学习作业的整个生命周期中保护所有敏感信息至关重要。

联邦学习中的另一个挑战是透明度和问责制。由于根据定义,联邦学习不涉及直接共享训练数据,因此很难审计训练过程并验证模型是否没有偏差或被篡改。这使得模型构建者难以遵守任何要求训练过程具有透明度或可审计性的 AI 法规,而这些法规是部署的先决条件。

隐私保护机器学习的另一种方法是机密计算21 机密计算通过利用基于硬件的可信执行环境 (TEE)(例如 Intel SGX(软件保护扩展)2,5、AMD SEV-SNP(安全加密虚拟化 - 安全嵌套分页)1、Arm CCA(机密计算架构)15 以及最近的 Nvidia Hopper 机密计算6),实现在不受信任的计算环境(例如,公共云)中安全执行代码和数据。

机密计算在机器学习模型和数据的整个生命周期中保护其机密性和完整性,即使免受特权攻击者的攻击。然而,在大多数现有的使用机密计算的机器学习系统中,训练过程仍然是集中的,需要数据所有者将(可能加密的)数据集发送到单个客户端,在该客户端中,模型在 TEE 中进行训练。与联邦学习不同,此设置将巨大的信任置于 TEE 基础设施上,以在远程、可能充满敌意的环境中保护数据集。

联邦学习和机密计算不应被视为相互竞争的技术。相反,通过仔细的设计,可以将联邦学习和机密计算结合起来,以实现两全其美:确保敏感数据保留在其信任域内,同时确保透明度和问责制。这种新的范式,在此称为 CFL机密联邦学习),可以防止对联邦学习的大量攻击,扩大联邦学习在隐私敏感领域的应用,并使合规即将出台的 AI 法规成为可能。

 

机密计算

机密计算使用 TEE 将敏感代码和数据与特权攻击者隔离。现代 CPU 中有几种类型的 TEE。例如,Intel CPU 通过软件保护扩展支持创建基于进程的 TEE。2 基于进程的 TEE 可以测量用户空间进程并将其与系统的其余部分(包括其他进程和操作系统 (OS))隔离。在基于进程的 TEE 中,代码无法直接访问任何 OS 内核功能(例如 I/O 设备)。因此,编写应用程序以使用基于进程的 TEE 需要开发人员付出大量努力。

在 AMD SEV-SNP1 的领导下,最近的 CPU 支持基于 VM(虚拟机)的 TEE。这些 TEE 能够托管和隔离用户模式进程和完整的操作系统,使其免受外部访问。这使得将现有应用程序迁移到基于 VM 的 TEE 更简单,尽管代价是更大的 TCB(可信计算基)。

虽然 CPU 中对机密计算的支持已经超过十年,但以低性能开销透明地部署 AI 工作负载(如联邦学习)所需的原语只是在最近才发展起来。

 

机密容器

虽然基于 VM 的 TEE 可以托管旧版虚拟机,但这种部署模式除了 TCB 较大之外,还有局限性。除非配置正确,否则它不会将工作负载(用户模式应用程序)与外部访问(例如,OS 管理员的安全外壳访问)完全隔离。它还提供有限的工作负载证明,因为它要求 VM 使用引导加载程序启动,而引导加载程序又引导 OS 内核。因此,只有引导加载程序由硬件测量。即使证明扩展到包括 OS 内核(例如,使用虚拟可信平台模块),证明整个 OS 和用户模式应用程序也具有挑战性。

机密容器3,11 是在基于 VM 的 TEE 中部署应用程序的一种新模式,它解决了这些限制。在机密容器中,基于 VM 的 TEE 用于托管实用程序 OS 以及容器运行时,而容器运行时又可以托管容器化的工作负载。机密容器通过容器执行策略支持完整的工作负载完整性和证明。这些策略定义了可以在 TEE 中托管的容器映像集(由每个映像层的哈希摘要表示),以及其他安全关键属性,例如命令、特权和环境变量。策略本身由硬件信任根测量(作为初始化时间声明),包含在硬件签名的证明报告中,并由容器运行时强制执行。换句话说,OS、容器运行时和容器策略的组合完全代表了托管在 TEE 中的工作负载,并且可以被依赖方用来建立对环境的信任。

 

机密 GPU

最初,对机密计算的支持仅限于 CPU,所有其他设备都被视为不受信任。当然,这限制了使用 GPU 来实现高性能的 AI 应用程序。在过去的几年中,人们尝试在加速器中构建机密计算支持。Nvidia 的 Hopper 世代 GPU6 支持创建 TEE,并且可以与基于 CPU 的 TEE(AMD SEV-SNP、Intel TDX4)结合使用,以创建跨 CPU 和 GPU 的统一 TEE,从而实现透明的卸载,且性能开销低。

Hopper GPU 支持新的机密计算模式,在该模式下,GPU 划分出一个称为受保护区域的内存区域,并启用硬件防火墙,将此区域和其他敏感状态部分与主机 CPU 隔离。在这种模式下,基于 CPU 的 TEE(例如 SNP VM)可以证明并与 GPU 建立安全通道,并向 GPU 中的复制引擎提供加密密钥。所有后续数据传输(包括代码;模型;以及 CPU TEE 和 GPU 之间以及 GPU 之间的应用程序数据)都使用这些密钥进行加密。

 

机密联邦学习

典型的联邦学习部署涉及多个组件,这些组件协同工作以实现跨多个客户端的协作模型训练。这包括持有本地数据的客户端环境、中央聚合器、用于管理联邦学习任务的协调器以及用于提供任务和交换模型更新的通信基础设施。

大多数联邦学习框架(例如 NVFlare20)都支持多种安全措施来保护数据和模型,包括使用网络安全来隔离和沙箱远程代码;TLS(传输层安全性)用于安全通信;以及强大的身份验证和访问控制机制。尽管采取了这些措施,但恶意参与者仍有很多途径可以泄露机密或篡改训练过程。例如,恶意参与者可以通过添加额外的样本或更改训练数据的标签来中毒数据集,从而在模型中引入后门或偏差。数据可能在训练作业之前或在作业期间自适应地中毒,具体取决于中间模型。参与者也可能观察或篡改梯度更新,或任意篡改工作流程——例如,完全跳过训练或不聚合某些输入。

CFL(机密联邦学习)是一种新兴的范式18,19,旨在加强联邦学习部署以抵御此类攻击。图 2 显示了单个训练作业的典型 CFL 部署的架构。在 CFL 中,所有计算(聚合和训练)都托管在特殊类别的硬件隔离 TEE 中。TEE 将数据和计算与所有外部访问隔离,包括管理员和特权攻击者。特别是,借助 TEE,模型权重不再暴露给客户端管理员;它们仅对经过证明的客户端代码可见。同样,中间梯度更新不再暴露给聚合器;它们仅暴露给经过证明的聚合器代码。聚合器仅学习训练后的模型,甚至该访问也可以通过将训练后的模型托管在 TEE 中来限制。

Trustworthy AI using Confidential Federated Learning

 

CFL 中使用的 TEE 还提供完整性——恶意聚合器或客户端无法篡改部署的数据、计算或配置。例如,如果训练作业要求每个客户端预处理数据集(例如,使用特定参数运行采样和重新加权以减轻偏差)13,则客户端无法更改训练作业或参数值的控制流,而不会通过证明被检测到。即使在存在侧信道攻击的情况下,TEE 的完整性属性也成立。12,14,16,23

最后,CFL 使用的 TEE 可以为联邦学习作业的完整工作负载和配置(包括预处理、训练和可选的推理)提供基于硬件的证明。满足这些要求的 TEE 包括 Azure 机密容器和 Google Cloud Platform 上的机密空间。

 

承诺

除了在 TEE 中托管计算之外,CFL 还可以通过承诺支持透明度和问责制。可以要求 CFL 中的参与者在运行训练作业之前承诺其输入。数据提供者承诺其数据集,模型提供者承诺作业配置和初始模型状态(如果从外部提供)。例如,NVFlare 中的作业配置是聚合器和客户端将执行的任务列表,以及每个任务的配置。

承诺可以采取多种形式。对于较小的输入(例如作业配置),可以直接证明输入(或其哈希摘要)。对于较大的输入(例如数据集),一种选择是在数据集上计算 Merkle 哈希树(例如,使用 dm-verity),并将树的根哈希(与随机 nonce 结合)用作承诺。

在 CFL 中,承诺反映在 TEE 证明中,由其他参与者验证,并在 TEE 执行期间强制执行。例如,在使用 Azure 机密容器的实现中,训练数据集的 dm-verity 根哈希作为环境变量包含在容器安全策略中。在 TEE 内,此根哈希用于验证 Merkle 树是否正确。然后,Merkle 树用于通过将读取的每个块的哈希摘要与 Merkle 树中的哈希值进行比较来验证数据集的完整性。在证明中反映承诺确保任何给定客户端只有在提供承诺的数据集作为输入时才能连接到聚合器。此不变量甚至在客户端和聚合器重启后仍然成立,因为客户端和聚合器在每次连接时都会相互证明(请参阅下一节)。

CFL 中使用的承诺具有一些值得注意的特征。首先,它们不影响隐私,因为只显示哈希,而不是数据集本身。承诺不会阻止客户端提供不良数据;它们确保恶意客户端无法在训练期间自适应地更改数据集。这大大限制了攻击者的能力,因为现在必须设计攻击以使其与训练中使用的其他数据集无关。最后,承诺与证明报告结合使用,为整个联邦学习作业提供防篡改的出处。

借助证明报告,外部审计员可以完全了解促成模型的各个数据集的流程,并可以让参与者对模型的行为负责。

 

相互证明

在证明报告中包含完整的工作负载、配置和承诺,使联邦学习计算中的其他参与者能够远程验证和建立对参与者计算实例的信任。例如,聚合器可以验证所有客户端,并且每个客户端都可以独立验证中央聚合器。

在 CFL 中,每个参与者通过创建证明策略来指定其信任其他参与者的标准。这可以采用键值映射的形式,其中每个键是声明的名称,值是声明允许采用的值集。

以下是包含多个声明和每个声明的允许值的示例证明策略。每个 CFL 节点都配备了一个策略,该策略用于验证来自其他节点的证明报告。

{
  "host_data": [ "..." ],
  "report_data": [ "...", "...", "...", ]
  "svn": [ "..." ]
}

 

为了确保参与者仅与其他其信任的参与者通信,CFL 部署可以在 TLS 握手期间执行证明验证

1. 在启动时,每个客户端和聚合器生成一个临时的 TLS 签名密钥,并获取一个以该密钥作为运行时声明的证明报告。

2. 每个节点生成一个自签名证书,并将证明报告和验证报告所需的其他抵押品(例如设备证书)作为自定义扩展包含在证书中。每个实例都配置其 TLS 堆栈以使用此 TLS 签名证书。

3. 每个节点还配置 TLS 堆栈(例如,使用 TLS 支持的回调)以根据其证明策略验证从其他参与者获得的证书。

此协议确保每个实例仅在根据证明策略验证证明报告后才与其他实例建立安全加密的通信通道。聚合器和客户端之间的所有后续通信(例如,通信模型权重和梯度更新)都使用此通道。

部署证明策略的一个挑战是它可能导致循环依赖,因为聚合器的证明策略取决于每个客户端的证明,反之亦然。打破循环的一种方法是在聚合器的证明中包含聚合器的证明策略,但在其证明中排除客户端的策略。这种设计选择保留了客户端在委托聚合器处理其数据之前评估聚合器证明策略的能力。

 

CFL 的实现

我们已经尝试了基于 Nvidia NVFlare(一种常用的联邦学习框架)的 CFL 实现。我们的原型可以在 ACI(Azure 容器实例)以及 CVM(机密 VM)上的机密容器上运行。9 NVFlare 容器可以托管在 ACI 和 CVM 中,而无需修改核心 NVFlare 框架。为了简化部署,我们构建了一个预配工具来生成脚本,用于生成数据集承诺、客户端和服务器的证明策略,以及用于将 NVFlare 容器部署到 ACI 和 CVM 的脚本。数据集承诺是使用 dm-verity 实现的。透明、相互证明的 TLS 和证明策略强制执行是使用网络代理支持的。

我们通过测量训练吞吐量来评估 CFL 的端到端性能。为了执行端到端评估,我们在 Azure DC4asv5 CVM(具有四个 vCPU,16 GiB 内存)中部署 CFL 聚合器,并在 Azure DC32asv5 CVM(32 个 vCPU,128 GiB 内存)中部署 CFL 客户端。我们的实验表明,对于简单的联邦学习工作负载(基于 CIFAR-10),为联邦学习系统添加 TEE 和 dm-verity 保护会导致总体吞吐量降低百分之五。

我们还使用顺序读取基准测试研究了使用 dm-verity 引入承诺的开销,该基准测试代表了整个数据集按顺序读取的训练工作负载。我们的实验表明,由于 Merkle 树检查引起的读取放大,dm-verity 保护可能会导致顺序读取吞吐量增加高达 40% 的开销。存储吞吐量降低对端到端训练吞吐量的影响很小,因为大多数训练工作负载往往是计算密集型的。这些是初步结果,需要使用更大的工作负载进行更严格的评估来证实。

 

结论

安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。经典的联邦学习在设计时非常强调安全性和隐私性,但以透明度和问责制为代价。CFL 通过将联邦学习与 TEE 和承诺相结合,弥补了这一差距。此外,CFL 还带来了其他理想的安全属性,例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密计算(如机密容器和机密 GPU)的最新进展意味着可以无缝扩展现有的联邦学习框架以支持 CFL,且开销较低。由于这些原因,CFL 很可能成为部署联邦学习工作负载的默认模式。

 

参考文献

1. AMD. 2020. AMD SEV-SNP:通过完整性保护等措施加强 VM 隔离。白皮书; https://www.amd.com/content/dam/amd/en/documents/epyc-business-docs/solution-briefs/amd-secure-encrypted-virtualization-solution-brief.pdf.

2. Anati, I., Gueron, S., Johnson, S., Scarlata, V. 2013. 用于基于 CPU 的证明和密封的创新技术。第二届硬件和架构支持安全和隐私国际研讨会论文集 13; https://www.intel.com/content/dam/develop/external/us/en/documents/hasp-2013-innovative-technology-for-attestation-and-sealing-413939.pdf.

3. Brasser, F., Jauernig, P., Pustelnik, F., Sadeghi, A.-R., Stapf, E. 2022. 用于基于容器的机密计算的可信容器扩展。arXiv 预印本 arXiv:2205.05747: https://arxiv.org/abs/2205.05747

4. Cheng, P.-C., Ozga, W., Valdez, E., Ahmed, S., Gu, Z., Jamjoom, H., Franke, H., Bottomley, J. 2023. Intel TDX 解密:自顶向下的方法。arXiv 预印本 arXiv:2303.15540; https://arxiv.org/abs/2303.15540。

5. Costan, V., Devadas, S. 2016. Intel SGX 解释; https://eprint.iacr.org/2016/086

6. Dhanuskodi, G., Guha, S., Krishnan, V., Manjunatha, A., Nertney, R., O'Connor, M., Rogers, P. 2023. 创建首个机密 GPU。acmqueue 21(4); https://queue.org.cn/detail.cfm?id=3623391

7. Dwork, C., Roth, A., et. al. 2014. 差分隐私的算法基础。理论计算机科学基础与趋势 9(3-4), 211–407; https://dl.acm.org/doi/10.1561/0400000042

8. Fang, M., Cao, X., Jia, J., Gong, N. 2020. 对拜占庭鲁棒联邦学习的本地模型中毒攻击。第 29 届 Usenix 安全研讨会论文集,第 92 条,1623–1640; https://dl.acm.org/doi/abs/10.5555/3489212.3489304

9. Hande, K. 2023. 宣布 Azure 机密 VM 与 NVIDIA H100 Tensor Core GPU 预览版。Azure 机密计算博客; https://techcommunity.microsoft.com/t5/azure-confidential-computing/announcing-azure-confidential-vms-with-nvidia-h100-tensor-core/ba-p/3975389#:~:text="The%20Azure%20confidential%20VMs%20with,remain%20protected%20end%20to%20end."

10. Jere, M. S., Farnan, T., Koushanfar, F. 2020. 联邦学习攻击分类。IEEE 安全与隐私 19(2), 20–28; https://ieeexplore.ieee.org/document/9308910

11. Johnson, M. A., Volos, S., Gordon, K., Allen, S. T., Wintersteiger, C. M., Clebsch, S., Starks, J., Costa, M. 2023. COCOAEXPO:通过证明的执行策略实现的机密容器。arXiv 预印本 arXiv:2302.03976; https://arxiv.org/abs/2302.03976

12. Kocher, P., Horn, J., Fogh, A., Genkin, D., Gruss, D., Haas, W., Hamburg, M., et al. 2019. Spectre 攻击:利用推测执行。第 40 届 IEEE 安全和隐私研讨会,1–19; https://ieeexplore.ieee.org/document/8835233

13. Krasanakis, E., Spyromitros-Xioufis, E., Papadopoulos, S., Kompatsiaris, Y. 2018. 自适应敏感重新加权以减轻公平感知分类中的偏差。2018 年万维网会议论文集,853–862; https://dl.acm.org/doi/10.1145/3178876.3186133

14. Li, M., Zhang, Y., Wang, H., Li, K., Cheng, Y. 2021. CIPHERLEAKS:通过密文侧信道在 AMD SEV 上破解恒定时间密码学。第 30 届 Usenix 安全研讨会,717–732; https://www.usenix.org/conference/usenixsecurity21/presentation/li-mengyuan

15. Li, X., Li, X., Dall, C., Gu, R., Nieh, J., Sait, Y., Stockwell, G. 2022. Arm 机密计算架构的设计和验证。第 16 届 Usenix 操作系统设计与实现研讨会; https://www.usenix.org/conference/osdi22/presentation/li

16. Lipp, M., Schwarz, M., Gruss, D., Prescher, T., Haas, W., Fogh, A., Horn, J., et al. 2018. Meltdown:从用户空间读取内核内存。第 27 届 Usenix 安全研讨会论文集; https://www.usenix.org/conference/usenixsecurity18/presentation/lipp

17. McMahan, B., Moore, E., Ramage, D., Hampson, S., Aguera y Arcas, B. 2017. 从去中心化数据进行通信高效的深度网络学习。第 20 届人工智能与统计国际会议论文集,1273–1282; https://proceedings.mlr.press/v54/mcmahan17a/mcmahan17a.pdf

18. Mo, F., Haddadi, H., Katevas, K., Marin, E., Perino, D., Kourtellis, N. 2022. PPFL:通过机密计算增强联邦学习中的隐私。GetMobile:移动计算和通信 25(4), 35–38; https://dl.acm.org/doi/10.1145/3529706.3529715

19. Quoc, D. L., Fetzer, C. 2021. SecFL:使用 TEE 的机密联邦学习。arXiv 2110.00981; https://arxiv.org/abs/2110.00981

20. Roth, H. R., Cheng, Y., Wen, Y., Yang, I., Xu, Z., Hsieh, Y.-T., Kersten, K., et al. 2022. NVIDIA Flare:从模拟到现实世界的联邦学习。arXiv 预印本 arXiv:2210.13291; https://arxiv.org/abs/2210.13291

21. Russinovich, M., Costa, M., Fournet, C., Chisnall, D., Delignat-Lavaud, A., Clebsch, S., Vaswani, K., Bhatia, V. 2021. 面向机密云计算。 通讯 64(6), 54–61; https://dl.acm.org/doi/10.1145/3453930

22. Tolpegin, V., Truex, S., Gursoy, M. E., Liu, L. 2020. 针对联邦学习系统的数据中毒攻击。第 25 届欧洲计算机安全研究研讨会论文集,第一部分 25, 480–501; https://dl.acm.org/doi/10.1007/978-3-030-58951-6_24

23. Van Bulck, J., Minkin, M., Weisse, O., Genkin, D., Kasikci, B., Piessens, F., Silberstein, M., Wenisch, T. F., Yarom, Y., Strackx, R. 2018. Foreshadow:通过瞬态乱序执行提取 Intel SGX 王国的密钥。第 27 届 Usenix 安全研讨会论文集; https://www.usenix.org/conference/usenixsecurity18/presentation/bulck

24. Wei, K., Li, J., ing Ding, M., Ma, C., Yang, H. H., Farokhi, F., Jin, S., Quek, T. Q. S., Poor, H. V. 2020. 具有差分隐私的联邦学习:算法和性能分析。IEEE 信息取证与安全汇刊 15, 3454–3469; https://ieeexplore.ieee.org/document/9069945

 

Jinnan Guo 是伦敦帝国学院的博士候选人,导师是 Peter Pietzuch。他的研究兴趣在于系统、安全和机器学习的交叉领域。

Peter Pietzuch 是伦敦帝国学院分布式系统教授,领导着大规模数据与系统 (LSDS) 小组。他的研究工作重点是可扩展、可靠且安全的软件系统的设计和工程,特别关注支持 AI 和机器学习工作负载。他还是帝国学院 I-X 人工智能、数据和数字倡议的联合主任。在加入帝国学院之前,他曾在哈佛大学担任博士后研究员,并拥有剑桥大学的博士和硕士学位。

Andrew Paverd 是微软安全响应中心 (MSRC) 的首席研究经理。他的研究工作主要侧重于 AI 系统中的安全性、隐私性和安全性,并对机密计算和 Web 安全性也感兴趣。Andrew 拥有约翰内斯堡金山大学的理学学士学位、开普敦大学的理学硕士学位和牛津大学的哲学博士学位。

Kapil Vaswani 是剑桥 Azure Research 的首席研究员。他的研究兴趣在于安全可靠的系统,特别关注设计机密计算硬件和服务,并将其应用于 AI 和 Web 安全。Kapil 拥有印度科学研究所班加罗尔分校的博士和硕士学位。

版权所有 © 2024 归所有者/作者所有。出版权已许可给 。

 

acmqueue

最初发表于 Queue vol. 22, no. 2
数字图书馆 中评论本文




更多相关文章

Raluca Ada Popa - 机密计算还是密码学计算?
通过 MPC/同态加密与硬件 enclave 进行安全计算,在部署、安全性和性能方面存在权衡。关于性能,您考虑的工作负载非常重要。对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载,这两种方法都可以在实践中使用,但对于复杂的 SQL 分析或训练大型机器学习模型等丰富的计算,目前只有硬件 enclave 方法在许多实际部署场景中足够实用。


Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处介绍的实验表明,Parma(在 Azure 容器实例上驱动机密容器的架构)增加的额外性能开销不到底层 TEE 增加的开销的百分之一。重要的是,Parma 确保了容器组在证明报告中植根的所有可达状态上的安全不变性。这允许外部第三方与容器安全地通信,从而支持各种需要机密访问安全数据的容器化工作流程。公司获得了在云中运行其最机密工作流程的优势,而无需在其安全要求上做出妥协。


Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
保密计算具有巨大的潜力,通过将管理系统从 TCB (受信任计算基础) 中移除,从而减小 TCB 的规模、攻击面和安全架构师必须考虑的攻击向量,来提升通用计算平台的安全性。 保密计算需要平台硬件和软件的技术创新,但这些创新有可能提高对计算的信任,特别是在由第三方拥有或控制的设备上。 早期保密计算用户将需要自行决定他们信任的平台。


Gobikrishna Dhanuskodi, Sudeshna Guha, Vidhya Krishnan, Aruna Manjunatha, Michael O'Connor, Rob Nertney, Phil Rogers - 《创建首个保密 GPU》
今天的数据中心 GPU 拥有历史悠久且富有传奇色彩的 3D 图形传统。 在 90 年代,用于 PC 和游戏机的图形芯片具有用于几何、光栅化和像素的固定管线,使用整数和定点运算。 1999 年,NVIDIA 发明了现代 GPU,它将一组可编程核心置于芯片的核心,从而能够高效地生成丰富的 3D 场景。



© 版权所有。

© . All rights reserved.