Ce document résume l'approche de confidentialité de la personnalisation sur l'appareil (ODP), en particulier dans le contexte de la confidentialité différentielle. D'autres implications sur la confidentialité et décisions de conception, telles que la minimisation des données, sont volontairement exclues de ce document pour le concentrer sur un sujet précis.
Confidentialité différentielle
La confidentialité différentielle 1 est une norme de protection de la confidentialité largement adoptée dans l'analyse statistique des données et le machine learning 2 3. En termes non formels, cela signifie qu'un pirate informatique apprend presque la même chose sur un utilisateur à partir du résultat d'un algorithme de confidentialité différentielle, que son enregistrement figure ou non dans l'ensemble de données sous-jacent. Cela implique une protection forte pour les individus: toute inférence faite sur une personne ne peut être due qu'à des propriétés agrégées de l'ensemble de données qui seraient valables avec ou sans l'enregistrement de cette personne.
Dans le contexte du machine learning, la sortie de l'algorithme doit être considérée comme les paramètres du modèle entraîné. L'expression presque la même chose est quantifiée mathématiquement par deux paramètres (ε, δ), où ε est généralement choisi comme une petite constante, et δ≪1/(nombre d'utilisateurs).
Sémantique de la confidentialité
La conception de l'ODP vise à s'assurer que chaque exécution d'entraînement est différentiellement privée au niveau de l'utilisateur (ε,δ). Vous trouverez ci-dessous notre approche pour atteindre cette sémantique.
Type de menace
Nous définissons les différentes parties et énonçons les hypothèses concernant chacune d'elles:
- Utilisateur:utilisateur propriétaire de l'appareil et consommateur des produits ou services fournis par le développeur. Ses informations privées sont entièrement disponibles pour lui.
- Environnement d'exécution sécurisé (TEE) : les données et les calculs sécurisés qui se produisent dans les TEE sont protégés contre les pirates informatiques à l'aide de diverses technologies. Par conséquent, le calcul et les données ne nécessitent aucune protection supplémentaire. Les TEE existants peuvent autoriser les administrateurs de projet à accéder aux informations qu'ils contiennent. Nous proposons des fonctionnalités personnalisées pour interdire l'accès à un administrateur et vérifier qu'il n'y a pas accès.
- Le pirate informatique:peut disposer d'informations secondaires sur l'utilisateur et a un accès complet à toutes les informations quittant le TEE (telles que les paramètres de modèle publiés).
- Développeur:personne qui définit et entraîne le modèle. est considéré comme non fiable (et dispose de toutes les capacités d'un pirate informatique) ;
Nous cherchons à concevoir une ODP avec la sémantique de confidentialité différentielle suivante:
- Limite de confiance:du point de vue d'un utilisateur, la limite de confiance se compose de son propre appareil et du TEE. Toute information qui quitte cette limite de confiance doit être protégée par la confidentialité différentielle.
- Pirate informatique:protection complète de la confidentialité différentielle par rapport au pirate informatique. Toute entité en dehors de la limite de confiance peut être un pirate informatique (y compris le développeur et les autres utilisateurs, qui peuvent tous être de mèche). Étant donné toutes les informations en dehors de la limite de confiance (par exemple, le modèle publié), toutes les informations secondaires sur l'utilisateur et des ressources infinies, le pirate informatique ne peut pas déduire d'autres données privées sur l'utilisateur (au-delà de celles déjà présentes dans les informations secondaires), jusqu'aux probabilités données par le budget de confidentialité. En particulier, cela implique une protection complète de la confidentialité différentielle par rapport au développeur. Toutes les informations communiquées au développeur (telles que les paramètres du modèle entraîné ou les inférences agrégées) sont protégées par la confidentialité différentielle.
Paramètres du modèle local
La sémantique de confidentialité précédente prend en charge le cas où certains des paramètres du modèle sont locaux à l'appareil (par exemple, un modèle qui contient un embedding utilisateur spécifique à chaque utilisateur et non partagé entre les utilisateurs). Pour ces modèles, ces paramètres locaux restent dans la limite de confiance (ils ne sont pas publiés) et ne nécessitent aucune protection, tandis que les paramètres de modèle partagés sont publiés (et sont protégés par la confidentialité différentielle). On parle parfois de modèle de confidentialité de type panneau d'affichage 4.
Fonctionnalités publiques
Dans certaines applications, certaines fonctionnalités sont publiques. Par exemple, dans un problème de recommandation de film, les caractéristiques d'un film (réalisateur, genre ou année de sortie) sont des informations publiques et ne nécessitent pas de protection, tandis que les caractéristiques liées à l'utilisateur (telles que les données démographiques ou les films que l'utilisateur a regardés) sont des données privées et nécessitent une protection.
Les informations publiques sont formalisées sous la forme d'une matrice de caractéristiques publiques (dans l'exemple précédent, cette matrice contiendrait une ligne par film et une colonne par caractéristique du film), qui est disponible pour toutes les parties. L'algorithme d'entraînement à confidentialité différentielle peut utiliser cette matrice sans avoir à la protéger (voir par exemple 5). La plate-forme ODP prévoit d'implémenter de tels algorithmes.
Approche de la confidentialité lors de la prédiction ou de l'inférence
Les inférences sont basées sur les paramètres du modèle et sur les fonctionnalités d'entrée. Les paramètres du modèle sont entraînés avec une sémantique de confidentialité différentielle. Ici, le rôle des éléments d'entrée est abordé.
Dans certains cas d'utilisation, lorsque le développeur dispose déjà d'un accès complet aux fonctionnalités utilisées pour l'inférence, l'inférence ne pose aucun problème de confidentialité et le résultat de l'inférence peut être visible par le développeur.
Dans d'autres cas (lorsque les fonctionnalités utilisées dans l'inférence sont privées et inaccessibles au développeur), le résultat de l'inférence peut être masqué pour le développeur, par exemple en exécutant l'inférence (et tout processus en aval qui utilise le résultat de l'inférence) sur l'appareil, dans un processus et une zone d'affichage appartenant à l'OS, avec une communication limitée en dehors de ce processus.
Procédure de formation
Présentation
Cette section présente l'architecture et la progression de l'entraînement (voir figure 1). L'ODP implémente les composants suivants:
Un distributeur de confiance, tel que la sélection fédérée, le téléchargement sécurisé ou la récupération d'informations privées, qui joue le rôle de paramètres de diffusion du modèle. On suppose que le distributeur de confiance peut envoyer un sous-ensemble de paramètres à chaque client, sans révéler quels paramètres ont été téléchargés par quel client. Cette "diffusion partielle" permet au système de réduire l'empreinte sur l'appareil de l'utilisateur final: au lieu d'envoyer une copie complète du modèle, seule une fraction des paramètres du modèle est envoyée à un utilisateur donné.
Un agrégateur de confiance, qui agrège les informations de plusieurs clients (par exemple, des gradients ou d'autres statistiques), ajoute du bruit et envoie le résultat au serveur. On suppose qu'il existe des canaux fiables entre le client et l'agrégateur, et entre le client et le distributeur.
Les algorithmes d'entraînement DP exécutés sur cette infrastructure Chaque algorithme de formation se compose de différents calculs exécutés sur les différents composants (serveur, client, agrégateur, distributeur).
Une session de formation type comprend les étapes suivantes:
- Le serveur diffuse les paramètres du modèle au distributeur de confiance.
- Calcul client
- Chaque appareil client reçoit le modèle de diffusion (ou le sous-ensemble de paramètres pertinents pour l'utilisateur).
- Chaque client effectue des calculs (par exemple, calculer des gradients ou d'autres statistiques suffisantes).
- Chaque client envoie le résultat du calcul à l'agrégateur de confiance.
- L'agrégateur de confiance collecte, agrége et protège les statistiques des clients à l'aide de mécanismes de confidentialité différentielle appropriés, puis envoie le résultat au serveur.
- Calcul sur le serveur
- Le serveur (non approuvé) exécute des calculs sur les statistiques protégées par la confidentialité différentielle (par exemple, il utilise des gradients agrégés différentiellement confidentiels pour mettre à jour les paramètres du modèle).
Modèles factorisés et minimisation en alternance à confidentialité différentielle
La plate-forme ODP prévoit de fournir des algorithmes d'entraînement à confidentialité différentielle génériques qui peuvent être appliqués à n'importe quelle architecture de modèle (comme DP-SGD 6 7 8 ou DP-FTRL 9 10, ainsi que des algorithmes spécialisés pour les modèles factorisés).
Les modèles factorisés peuvent être décomposés en sous-modèles (appelés encodeurs ou tours). Par exemple, considérons un modèle de la forme f(u(θu, xu), v(θv, xv)), où u() encode les caractéristiques utilisateur xu (et possède les paramètres θu), et v() encode les caractéristiques non utilisateur xv (et possède les paramètres θv). Les deux encodages sont combinés à l'aide de f() pour générer la prédiction finale du modèle. Par exemple, dans un modèle de recommandation de films, xu correspond aux caractéristiques utilisateur et xv aux caractéristiques des films.
Ces modèles sont bien adaptés à l'architecture de système distribué susmentionnée (car ils séparent les fonctionnalités utilisateur et non utilisateur).
Les modèles factorisés seront entraînés à l'aide de la minimisation en alternance à confidentialité différentielle (DPAM, Differentially Private Alternating Minimization), qui alterne l'optimisation des paramètres θu (tandis que θv est fixe) et inversement. Il a été démontré que les algorithmes DPAM sont plus utiles dans divers paramètres 4 11, en particulier en présence de fonctionnalités publiques.
Références
- 1: Dwork et al. Calibrating Noise to Sensitivity in Private Data Analysis, TCC'06
- 2: Bureau du recensement des États-Unis. Understanding Differential Privacy, 2020
- 3: Federated Learning with Formal Differential Privacy Guarantees, article de blog sur l'IA de Google, 2020
- 4: Jain et al. Differentially Private Model Personalization, NeurIPS'21
- 5: Krichene et al. Private Learning with Public Features, 2023
- 6: Song et al. Stochastic gradient descent with differentially private updates, GlobalSIP'13
- 7: Differentially Private Empirical Risk Minimization: Efficient Algorithms and Tight Error Bounds, FOCS'14
- 8: Abadi et al. Deep Learning with Differential Privacy, CCS '16
- 9: Smith et al. (Nearly) Optimal Algorithms for Private Online Learning in Full-information and Bandit Settings, NeurIPS'13
- 10: Kairouz et al., Practical and Private (Deep) Learning without Sampling or Shuffling, ICML'21
- 11: Chien et al. Private Alternating Least Squares, ICML'21