Шифрование инференса (Inference Encryption)

Что такое Шифрование инференса (Inference Encryption)?

Метод защиты данных и моделей машинного обучения в процессе выполнения инференса (выводов на основе обученной модели), при котором входные данные, выходные результаты или сама модель шифруются для предотвращения несанкционированного доступа или утечки информации.

Представьте, что вы отправляете письмо другу, но не хотите, чтобы кто‑либо ещё его прочитал. Вы кладёте письмо в сейф, запираете его на ключ и передаёте другу — только он знает, как открыть сейф.

В контексте нейросетей шифрование инференса работает похожим образом: данные «упаковываются» в защищённую оболочку перед тем, как попасть в модель, и/или результаты её работы шифруются до передачи пользователю. Это особенно важно, когда модель работает с конфиденциальной информацией — медицинскими записями, персональными данными, коммерческой тайной.

Исторический контекст

Исторически потребность в шифровании инференса стала острой по мере роста популярности облачных сервисов для машинного обучения. Компании начали размещать свои модели на удалённых серверах, что создало риски:

  • утечки данных при передаче на сервер;
  • несанкционированного доступа к модели (её кражи или анализа для выявления уязвимостей);
  • перехвата результатов инференса конкурентами.

Первые исследования в области защищённого инференса появились в 2010‑х годах. Важную роль сыграли работы по гомоморфному шифрованию (способ выполнять вычисления над зашифрованными данными без их расшифровки) и безопасным многосторонним вычислениям. Среди ключевых исследователей — Крейг Гентри (Craig Gentry), предложивший первую практическую схему полностью гомоморфного шифрования в 2009 году.

Отличия от других методов защиты

Важно отличать шифрование инференса от других методов защиты:

  • Шифрование при хранении защищает данные или модели, когда они не используются (например, на диске), но не обеспечивает безопасность в процессе инференса.
  • Шифрование передачи данных (например, TLS/SSL) защищает информацию при передаче по сети, но не гарантирует конфиденциальность при обработке на сервере.
  • Дифференциальная приватность фокусируется на защите приватности данных при их анализе, а не на шифровании самого процесса инференса.

Примеры использования шифрования инференса

  • Облачные сервисы ML (например, AWS SageMaker, Google AI Platform) предлагают опции шифрования данных при инференсе, чтобы клиенты могли безопасно использовать удалённые модели.
  • Медицинские приложения, где модели анализируют персональные данные пациентов (например, результаты МРТ). Шифрование гарантирует, что ни данные, ни результаты не будут раскрыты третьим лицам.
  • Финансовые системы, где модели оценивают кредитные риски или выявляют мошенничество. Шифрование защищает конфиденциальные транзакции и персональные данные клиентов.

Популярные подходы и инструменты

  • Гомоморфное шифрование (библиотеки HElib, Microsoft SEAL) — позволяет выполнять вычисления над зашифрованными данными.
  • Безопасные многосторонние вычисления (библиотеки MP-SPDZ, SecureNN) — обеспечивают совместную обработку данных без раскрытия их содержания.
  • Аппаратные решения (например, Intel SGX) — создают защищённые анклавы в памяти, где инференс выполняется в зашифрованной среде.

Авторизация