基于 FSS 的 GPU 安全训练与推理 Orca
摘要
安全的两方计算(2PC)允许两方在不透露输入的情况下计算任何函数。在 2PC 的离线/在线模型中,独立于计算输入的相关随机性在预处理(离线)阶段生成,然后在输入可用时在在线阶段使用。大多数 2PC 工作都集中在优化在线时间,因为这个开销位于关键路径上。基于功能秘密共享(FSS)密码技术的高效 2PC 协议是一个新的范式。我们构建了一个端到端的系统 Orca,以加速使用 GPU 的 FSS 为基础的 2PC 协议的计算。接下来,我们观察到这种加速协议的主要性能瓶颈在于存储(由于大量的相关随机性),我们设计了新的基于 FSS 的 2PC 协议,用于机器学习中的几个关键功能,减少了高达
1. 介绍
机器学习训练已经成为一个极其重要且需要大量数据的应用程序。尽管训练
模型通过更多和更多样的数据而变得更好,但这些数据往往高度敏感,例如财务、医疗保健或浏览数据。使用诸如安全多方计算(MPC)等隐私保护技术[29]、[68]可以对这些敏感数据进行安全训练[40]、[48]、[49]、[60]、[62]、[64]、[66]。使用 MPC 进行安全训练允许多个不互信的各方训练他们的联合数据模型,而不会泄露任何一方的数据,只有最终训练好的模型会被公开。然而,基于 MPC 的安全训练存在较高的性能开销。通过最近一系列的工作,在 CIFAR10 数据集上进行安全训练所需的端到端时间已经从数年[49]缩短到数月[64]、数周[60]、并最终达到一天[66]。Piranha 是目前加速安全训练使用 GPU 的最新成果。我们的目标是将这一时间缩短到不到一小时。
基于离线/在线模型,数据无关的相关随机性在离线预处理阶段生成,各方在数据相关的在线阶段使用这种相关随机性。包括 PiranhA 和我们在内的这一模型的工作都关注于降低在线复杂性。为实现高效的安全训练,PIRANHA 对 ML 做了多项 MPC 友好的近似,如用平均池替代最大池[60]、局部截断份额[49]、[60]和用分段线性函数近似指数运算。此外,仿效 Falcon[64]的做法,它也在安全性和效率之间做了权衡,在 softmax 运算中泄露了中间值,这是标准 MPC 安全要求不允许的。PiranhA 观察到它的特设近似导致了相对 PyTorch 训练的显著模型精度下降。例如,PiranhA 报告在 CIFAR-10 数据集上,VGG16 在 PyTorch 中的精度为
1.1. 我们的贡献
与[49]、[60]、[62]、[64]、[66]不同,我们的安全训练仍然忠实于机器学习文献[31]中已知模拟浮点 PyTorch 训练的量化训练算法。我们发现,对小型模型(参数为数千个)进行忠实的安全训练,其产生的模型精度更高,而使用 Piranha 对大型模型(参数为数百万个)进行安全训练则相反。Piranha 近似在小型模型上失效 - 使用这些近似(本地截断股份或指数函数的分段线性近似)训练我们的小型模型,会将训练模型的准确性降低到随机分类器的水平。在 CIFAR-10 数据集上,我们的安全训练在所有指标上都优于 PIRANHa。我们的方法既安全又产生
在技术方面,我们的起点是在预处理模型中最近在基于函数保密共享(FSS)的安全二方计算(2PC)协议方面的进展[16]、[19]、[30]。这些协议的一个关键特点是,它们在减少在线通信的同时,增加了计算和存储。FSS 的在线阶段需要大量 AES 计算,并需要读取在预处理期间生成的大量 FSS 密钥。因此,FSS 将性能瓶颈从外部网络转移到单台机器的计算和内存。在这项工作中,我们通过有效加速基于 GPU 的 FSS 2PC,大幅降低了安全训练的开销。然而,我们在系统和密码学方面都面临着几个挑战,我们将在下文中讨论。
1.1.1. 系统优化(详见第 3 节)。为了加速计算,我们创建了 FSS 协议的高效 GPU 实现,速度比基于 CPU 的协议快一个数量级。这个结果让人感到意外,因为之前试图用 GPU 加速 FSS 的工作只获得了边际改进[58]。我们加速实现的关键在于,结合 GPU 微架构进行的一系列独特的系统优化。我们利用了几种 GPU 微架构特性,例如使用 GPU 的 scratchpad 内存进行更快的 AES 计算、优化数据布局以提高 GPU 缓存命中率,以及利用 GPU 的锁步执行来将密码学计算的中间结果最优地打包到内存中。有趣的是,我们发现一旦 GPU 上的计算得到良好优化,从 SSD 读取 GB 级别 FSS 密钥到 GPU 内存就成为了瓶颈。为了解决这个问题,我们依赖于新的密码学协议(下一节讨论)来减小常见训练节点的 FSS 密钥大小。
1.1.2. 加密改进。忠实于量化训练,例如 Gupta 等人[31]中描述的那种,需要有效的协议来处理固定点值、ReLU、最大池化和浮点 softmax 的随机截断。随机截断、ReLU 和最大池化代价高昂,并导致密钥较大。Gupta 等人[31]表明,确定性截断无法在训练过程中维持准确性,因此提出使用随机截断。然而,所有先前用于安全训练的随机截断协议都是不安全的[45]。为了维持端到端安全性,我们提供了第一个安全的随机截断协议。这种更强的安全性是以巨大成本换取的。我们创造了新的协议,将密钥大小减少了高达
1.1.3. 虎鲸。我们在 Orca 中实现了我们的技术,这是一个用于安全训练的按钮式工具,将公开发布
2.准备工作
2.1. 符號
令
脚注内容
数据类型。对于
定点表示法。定点表示法由位宽
运算符。算术运算在
秘密共享。对于
2.2. 威胁模型
我们在预处理模型[30]、[41]、[58]、[66]中考虑 2 方安全计算(2PC)。在预处理阶段,生成独立于计算所有输入的相关随机数。这可以通过多种方式生成——通过可信交易商[16]、[19]、[30]、[41]、[58]、[66]、2PC 协议[29]、[68]或更高效的专门 2PC 协议[26]。在这项工作中,我们采用第一种方法。我们在标准模拟范式[20]、[29]、[46]中证明了我们协议的安全性,面对一个腐蚀其中一方的半诚实静态概率多项式时间(PPT)对手。为了完整性,我们在附录 K 中描述了详细的威胁模型。
我们的协议可以简单地扩展到"客户端-服务器"模型,其中
2.3. 功能机密共享和 DCFs
函数共享方案 (FSS) [17]、[18] 是一对算法 (Gen, Eval)。Gen 将函数
定义 1 (FSS:语法[17]、[18])。一个(2 方)FSS 方案是一对算法(Gen, Eval),满足:
-
Gen是一个 PPT 密钥生成算法,给定 和 (函数 的描述)输出一对密钥 。我们假设 明确包含输入和输出组的描述 。 -
评估是一种多项式时间评估算法,给定 (参与方索引)、 (定义 的密钥: )和 (输入 ),输出 (的值 )。
由 Gen 输出的密钥
分布式比较函数(DCFs)由 Boyle 等人[18]引入,并为特殊区间函数提供了一种 FSS 方案。
定义 2(DCF [16]、[18])。一个特殊的间隔函数
我们所有的协议都使用 DCF 对于当
定理 1(DCF[16]的成本)。给定伪随机生成器
我们使用
定理 2(小负载 DCF)。对于
评估
2.4. 使用 FSS 的预处理安全双方计算
[16], 19]提出了一种使用 FSS 的半诚实静态安全 2PC 协议。考虑两个评估者想评估包含
2.4.1. 离线阶段。对于计算电路中的每条线
2.5. GPU 加速计算
图形处理单元(GPU)最初是为加速图形处理而设计的,但现已成为加速并行计算的关键平台,包括深度神经网络训练、数据分析和图处理。即使是中档的 NVIDIA A6000 GPU,也可以同时执行超过五千个线程。此外,GPU 中还有超过十万个线程随时准备就绪,以便快速替换执行停滞的线程。像 CUDA 这样的 GPU 编程语言[2]要求程序员将线程排列成层次结构,以保持 GPU 的大规模并行性可控。通常由 32 个 GPU 线程组成的"线程束"(warp)以锁步方式执行,是最小的可调度工作单元。一个线程块(threadblock)最多由 32 个线程束组成。GPU 内核通常会启动数百个线程块,形成数十万个线程的网格。
图形处理器(GPU)的体系结构反映了其编程层次。线程束在单指令多数据(SIMD)单元上同步执行。多个这样的 SIMD 单元被放置在流式多处理器(SM)上。GPU 会有数十个这样的 SM;例如 A6000 有 84 个 SM。一个线程块的所有线程都被调度在同一个 SM 上;来自不同线程块的线程可以在不同的 SM 上运行。
GPU 的内存子系统呈现类似的层次结构。GPU 上的内存通常支持超过
最后,我们注意到 GPU 总是伴随 CPU 而存在。它通过 PCIe 互连连接到主机 CPU [10]。 GPU 加速程序首先在 CPU 上运行。在 CPU 上运行的程序部分会在 GPU 上分配/释放内存,并通过 PCIe 总线在 GPU 内存和 CPU 内存之间传输数据。 CPU 还负责在网格中启动所需数量的线程,从而使 GPU"内核"(用 CUDA/OpenCL 编写的 GPU 加速函数)在 GPU 上进行计算。
在 GPU 上加速 FSS
加速基于 FSS 的安全计算在 GPU 上是 Orca 的重要目标。为此,我们在两个关键方面取得了进展。(1)我们展示了如何利用 GPU 架构来实现合理的 FFS 基础计算加速。(2)我们发现从存储读取 FSS 密钥的时间可能会掩盖 GPU 加速带来的好处。我们提出了一种新的加密技术和系统改进的组合方法来限制密钥读取时间。接下来,我们将详细阐述 Orca 设计中的这两个方面。
3.1. 加速基于 FSS 的 GPU 计算
之前试图在 GPU 上加速基于 FSS 的协议[58]的工作仅在没有全面策略利用 GPU 架构特点的情况下观察到了适度的加速效果。在 Orca 中,我们采用以下三种关键技术来利用 GPU 的运算能力。
(1) 更快的 AES 计算 (AES)FSS 基础计算的一个关键原语是分布式比较函数或 DCF(第 4 节)。我们经验性地发现,计算 DCF 可能占用整体计算时间的大部分,例如,在 CNN3 的正向传播中,DCF 占据了大约
考虑执行 1000 万个 DCF 评估作为微基准测试,以量化我们在本小节讨论的不同优化的加速潜力。这个选择是由于几个模型每层需要执行数百万次 DCF。
表 1 经验性地捕捉了微基准的计算时间,从下面讨论的基线开始。
为了在 GPU 上加速 AES,我们首先使用 PyTorch 的 csprng 扩展[11],遵循之前的研究[58]、[60]。AES 需要反复查找预先计算的查找表[61]。通过分析使用 NVIDIA 的 Nsight 工具[8]进行 PyTorch 的 csprng 性能分析,我们发现它在访问查找表时经常会停顿。它将查找表保存在 GPU 每个 SM 的常量缓存中。虽然对常量缓存的访问很快,但只有当 GPU 线程在任何给定周期访问相同的地址时才适合[3]。否则,访问将被串行化,从而导致计算停滞。不幸的是,不同的线程访问不同的索引(因此,不同的地址)。
为了减少这种停顿,我们按照先前工作[61]中提出的策略,为 SM 中的每个 warp(这里是 32 个)复制一次查找表。此外,复制的表格被放置在 GPU 中每个 SM 的 scratchpad(共享内存)上。这是因为 scratchpad 是有独立 bank 的,与常量缓存不同。不同 bank 中的数据可以同时访问,不会造成停顿。因此,AES 查找表的副本被放置在 scratchpad 的不同 bank 中,缓解了由于访问 AES 查找表而导致的停顿。
表 1 中的第一个条目显示,PyTorch 的 csprng 扩展[11]的 AES 实现需要 3305 毫秒。当我们使用优化的 AES 实现("表中的 AES")时,它减少到 840 毫秒,给出了
(2) 针对高速缓存局部性优化数据布局(LAYOUT) 计算 DCF 需要评估者执行
在并行化的 CPU 实现中,每个线程都会独立在一个 CPU 内核上计算一个 DCF。因此,将 DCF 计算的校正词连续地布置在内存中更有利于缓存局部性。然而,在 GPU 实现中,一个包含 32 个线程的线程束以同步的方式执行,每个线程都在计算一个 DCF。在同步执行中,线程束中的线程只有在完成 PRG 计算后才能继续计算。因此,与 CPU 实现不同,将给定 DCF 的所有校正词连续存放会导致缓存命中率较低。相反,对于 GPU 实现,必须考虑线程束中所有线程的缓存局部性。因此,我们将线程束中每个线程给定轮次的 PRG 校正词连续存放。换句话说,就是将线程束中所有线程(DCF 计算)给定(比如第四)轮次的 PRG 校正词连续存放在内存中,然后是下一轮次的 PRG 校正词,以此类推。
我们发现优化的校正词布局将 L1 缓存命中率从
| 天真的 | AES | AES+布局 | 高级加密标准+布局+内存 | |
| 时间
|
3305 | 840 | 716 | 523 |
| 加速 |
|
|
|
表 1:我们的优化处理 10M 个 DCFs 的加速效果
在表 1 中,这种优化(LAYOUT)进一步将计算 1000 万个 DCFs 的时间从 840 毫秒减少到 716 毫秒。(3)优化内存占用空间(MEM):基于 FSS 的协议降低了通信开销,但需要更大的密钥大小。包含密钥的文件通常存储在存储设备(如 SSD)上,在在线计算期间必须读取到内存中。从 SSD 读取大密钥可能会非常缓慢(参见第 3.2 节)。我们通过新的加密协议解决了这一挑战,大大减小了训练和推理中常见节点的密钥大小,详见第 4、5 和 6 节。密钥大小的减小不仅降低了 CPU 和 GPU 之间通过缓慢的 PCIe 互联网络移动数据的开销,也减少了对有限 GPU 内存的占用。减小密钥大小的一个关键技术是使用较小负载的 DCF(如 1 位而不是 64 位),并尽可能在较短的输入(如 40 位而不是 64 位)上进行比较。
然而,充分利用较小的 DCF 有效负载的全部优势并非易事。保持 1 位输出到标准数据类型(如字节)的简单实现会导致
_shfl_down_sync()用于在没有锁的情况下进行线程级同步数据交换的内置方法[13]。表 1 显示了由于此优化(MEM)而进一步加快了速度。执行一千万次 DCF 所需的时间降至 523 毫秒(
3.2. 缩短阅读 FSS 密钥的时间
基于 FSS 的安全计算协议的一个关键优势是它限制了各方之间的通信。但是,它需要在执行在线计算时读取大量预生成的密钥。我们发现,一旦通过上述策略在 GPU 上加速计算,从存储(这里是 SSD)到 GPU 内存读取 FSS 密钥的时间成为瓶颈。我们采取了三管齐下的方法来解决这个瓶颈。
绕过操作系统页缓存:默认情况下,操作系统会在 CPU 的 DRAM 上缓存文件内容,希望文件数据可以在一段时间内被重复访问。但是,页缓存会在访问文件内容的关键路径上增加开销。由于 FSS 密钥只使用一次,没有重复利用的情况。因此,包含 FSS 密钥的文件无法从页缓存中获益。
页面缓存但支付开销。例如,我们训练的一个模型,来自[31]的 CNN3,在加密改进之前每次迭代需要 34.7 GB 的密钥。绕过操作系统的页面缓存,可将读取此密钥的时间从 13.4 秒缩短至 6.2 秒。
(2) 重叠关键读取与计算:为进一步减少关键读取时间的影响,我们将
(3) 新型密码术来限制密钥大小:即使在上述优化措施之后,从 SSD 读取密钥的时间仍可能超过 GPU 计算时间,对于更大的网络而言更是如此。我们发现,仅当计算在 GPU 上得到良好加速(如在 Orca 中)时,密钥读取时间才成为瓶颈。对于 CPU 单独实现的 FSS 协议或第 3.1 节中没有进行优化的 GPU 实现,情况并非如此。
我们构建新的 FSS 协议来减少流行的非线性激活函数(如 ReLU 和最大池化)中的密钥大小,同时在量化训练时与截断相结合时也可以减少在线通信(第 45 节)。例如,我们针对截断后的 ReLU 实现了
4.基础建筑块协议
句法。我们使用(*)来表示被屏蔽的值,例如
与先前基于 FSS 的 2PC [16]、[19]、[30]的工作不同,其中门的在线阶段是非交互式的,我们构建了更复杂的协议,其中在线阶段被允许是多轮的。然而,这对于将协议拼凑在一起并没有问题,因为评估者最终仍会得到掩蔽的值或相同的份额。
以下,我们首先提供用于函数 Select 和 Signed Extension 的新的 FSS 协议,这些将用作后续章节中所述协议的基础块。
4.1. 选择
选择功能,选择
Select \(\Pi_{n}^{\text {select }}\)
\(\operatorname{Gen}_{n}^{\text {select }}\left(\left(r_{1}^{\text {in }}, r_{2}^{\text {in }}\right), r^{\text {out }}\right):\)
\(u=\operatorname{extend}\left(r_{1}^{\text {in }}, n\right)\)
\(w=u \cdot r_{2}^{\text {in }}+\mathrm{r}^{\text {out }}\)
\(z=2 \cdot u \cdot \mathrm{r}_{2}^{\text {in }}\)
share \(\left(u, r_{2}^{\text {in }}, w, z\right)\)
For \(b \in\{0,1\}, k_{b}=u_{b}|| r_{2, b}^{\text {in }}\left\|w_{b}\right\| z_{b}\)
\(\operatorname{Eval}_{n}^{\text {select }}\left(b, k_{b},(\hat{s}, \hat{x})\right):\)
Parse \(k_{b}\) as \(u_{b}\left\|\mathrm{r}_{2, b}^{\text {in }}\right\| w_{b} \| z_{b}\)
if \(\hat{s}=0\) then
return \(\hat{y}_{b}=u_{b} \cdot \hat{x}+w_{b}-z_{b}\)
else
return \(\hat{y}_{b}=b \cdot \hat{x}-u_{b} \cdot \hat{x}-\mathrm{r}_{2, b}^{\mathrm{in}}+w_{b}\)
end if
图 1:选择协议
来自[30]的无符号混合位宽乘法的偏移函数,select
在这里,我们利用
定理 3。
4.2. 有符号扩展
[30]提供了以下表达式来描述 SignExt 功能的偏移函数(第 2 节):
Signed Extension \(\Pi_{m, n}^{\text {SignExt }}\)
\(\operatorname{Gen}_{m, n}^{\text {SignExt }}\left(r^{\text {in }}, r^{\text {out }}\right):\)
\(t=r^{\text {out }}-\operatorname{extend}\left(\mathrm{r}^{\text {in }}, n\right)-2^{m-1}\)
\(\left(k_{0}^{<}, k_{1}^{<}\right) \leftarrow \operatorname{Gen}_{m}^{<}\left(1^{\lambda}, \mathrm{r}^{\text {in }}, 1, \mathbb{U}_{2}\right)\)
\(r^{(w)} \stackrel{\S}{\leftarrow} \mathbb{U}_{2}\)
\(\boldsymbol{p}=\left\{t, t+2^{m}\right\} \ggg r^{(w)} \in \mathbb{U}_{N}^{2}\)
share \(\left(r^{(w)}, \boldsymbol{p}\right)\)
For \(b \in\{0,1\}, k_{b}=k_{b}^{<}\left\|r_{b}^{(w)}\right\| \boldsymbol{p}_{b}\)
\({ }_{m, n}^{\text {SigExt }}\left(b, k_{b}, \hat{x}\right):\)
Parse \(k_{b}\) as \(k_{b}^{<}\left\|r_{b}^{(w)}\right\| \boldsymbol{p}_{b}\)
\(\hat{x}^{\prime}=\hat{x}+2^{m-1} \bmod 2^{m}\)
\(\hat{w}_{b} \leftarrow \operatorname{Eval}{ }_{m}^{<}\left(b, k_{b}^{<}, \hat{x}^{\prime}\right)+r_{b}^{(w)} \bmod 2\)
\(\hat{w}=\) reconstruct \(\left(\hat{w}_{b}\right)\)
return \(\hat{y}_{b}=b \cdot \hat{x}^{\prime}+p_{b, \hat{w}}\)
图 2:SignExt 协议。
定理 4.
5. 安全培训协议
训练功能。为实现安全训练,我们需要以下功能的协议:a) 线性层,如矩阵乘法和卷积;以及 b) 激活函数,如 ReLU 和最大池化。线性层使用与 LLAMA [30] 相同的方法安全计算(即通过预处理阶段生成的 Beaver 三元组)。在定点算术中,乘法必须遵循截断操作以保持规模。也就是说,将两个定点值相乘,其隐式比例尺为
章节概述。我们首先描述了我们对 ReLU(第 5.1 节)和随机截断的新协议。
第 5.2 节)采用较小的密钥大小。接下来,在第 5.3 节中,我们展示了如何将随机截断节点与诸如 ReLU 和 ReLU+Maxpool 等激活函数相融合,以获得较小的密钥大小和计算量,相比于顺序计算的朴素方法。我们的重点一直是降低密钥大小(即使稍微增加了在线通信轮数)。
5.1. ReLU
对于一个有符号值
当
其中
我们证明了以下表达式, 适用于
基于此,我们在图 3 中描述了
定理 5。
5.2. 随机截断
在随机截断中,无论是保持位宽还是减少位宽,截断的结果都会向上或向下四舍五入,其概率取决于被截断的小数部分。我们在下面提供了这两种版本的全新安全协议。
5.2.1. 随机截断-缩减。
DReLU \(\Pi_{n}^{\text {DReLU }}\)
\(\operatorname{Gen}_{n}^{\text {DReLU }}\left(r_{n}^{\text {in }}, r^{\text {out }}\right):\)
\(:\left(k_{0}^{<}, k_{1}^{<}\right) \leftarrow \operatorname{Gen}_{n}^{<}\left(1^{\lambda}, \mathrm{r}^{\text {in }}, 1, \mathbb{U}_{2}\right)\)
share \(r^{\text {out }}\)
For \(b \in\{0,1\}, k_{b}=r_{b}^{\text {out }}|| k_{b}^{<}\)
\(\operatorname{Eval}_{n}^{\text {DReLU }}\left(b, k_{b}, \hat{x}\right):\)
Parse \(k_{b}\) as \(r_{h}^{\text {out }} \| k_{b}^{<}\)
\(\hat{y}=\hat{x}+2^{n-1} \bmod 2^{n}\)
\(u_{b} \leftarrow \operatorname{Eval}_{n}^{<}\left(b, k_{b}^{<}, \hat{x}\right)\)
\(v_{b} \leftarrow \operatorname{Eval}_{n}^{<}\left(b, k_{b}^{<}, \hat{y}\right)\)
return \(\hat{y}_{b}=v_{b}-u_{b}+b \cdot 1\left\{\hat{y} \geqslant 2^{n-1}\right\}+\mathrm{r}_{b}^{\text {out }}\)
\(\bmod 2\)
图 3:DReLU 协议
定义 3。对于
现在,stTR
我们证明了以下引理附录 C,它使我们能以
引理 1。对于具有潜在值
因此,
对于上述引理中的最终表达式,第一项可由评估人员本地计算,第二项和第三项可由交易商计算,最后一项可使用
定理 6。
5.2.2. 随机截断。
定义 4. 对于
使用与上述类似的思想,计算随机截断的一种方法是
引理 2。对于
协议
定理 7.
与上述直接方法相比,对于
5.3. 随机截断 + 激活函数
正如前面讨论的,当线性层后跟激活函数如 ReLU 和最大池化时,我们将随机截断节点与 ReLU(或 ReLU 和最大池化,取决于存在的节点)进行融合,以获得单一的融合功能协议。在本节中,我们描述了针对 ReLU 情况的实现方式;在附录 B 中,我们描述了 ReLU+最大池化的情况。
如前所述,线性层是在
上述表达式可以通过运行协议
首先,根据引理 2,在随机截断中,通过
其次,我们通过提供一种新的协议来改进上述方法,该协议通过利用针对 DReLU 和 ZeroExt 进行的类似比较来一起执行 ReLU 和零扩展。这进一步减小了密钥大小。我们将此功能称为 ReLU-Extend,用
对于
然后,
我们需要根据
根据
ReLU-Extend \(\Pi_{n-f, n}^{\mathrm{ReLUEx}}\)
\(\operatorname{Gen}_{n-f, n}^{\text {ReLUExt }}\left(r^{\text {in }}\right.\), rout \(\left.^{\text {out }}\right):\)
\(:\left(k_{0}^{<}, k_{1}^{<}\right) \leftarrow \operatorname{Gen}_{n-f}^{<}\left(1^{\lambda}, \mathrm{r}^{\text {in }}, 1, \mathbb{U}_{4}\right)\)
\(r^{(d)} \stackrel{\&}{\leftarrow} \mathbb{U}_{4}\)
\(r^{(w)} \stackrel{\&}{\leftarrow} \mathbb{U}_{4}\)
\(r^{(i)}=2 \cdot r^{(d)}+r^{(w)}\)
\(\boldsymbol{p}=\{1,0,0,0\} \lll r^{(i)} \in \mathbb{U}_{N}^{4}\)
\(\boldsymbol{q}=\left\{r^{\text {out }}, r^{\text {out }}-r^{\text {in }}\right\} \ggg\left(r^{(d)} \bmod 2\right) \in \mathbb{U}_{N}^{2}\)
share \(\left(r^{(d)}, r^{(w)}, \boldsymbol{p}, \boldsymbol{q}\right)\)
For \(b \in\{0,1\}, k_{b}=k_{b}^{<}\left\|r_{b}^{(d)}\right\| r_{b}^{(w)}\left\|\boldsymbol{p}_{b}\right\| \boldsymbol{q}_{b}\)
\(\operatorname{Eval}_{n-f, n}^{\mathrm{ReLUExt}}\left(b, k_{b}, \hat{x}\right):\)
Parse \(k_{b}\) as \(k_{b}^{<}\left\|r_{b}^{(d)}\right\| r_{b}^{(w)}\left\|\boldsymbol{p}_{b}\right\| \boldsymbol{q}_{b}\)
\(\hat{y}=\hat{x}+2^{n-} \bmod 2^{n-f}\)
\(w_{b} \leftarrow \operatorname{Eval}_{n-f}^{<}\left(b, k_{b}^{<}, \hat{x}\right)\)
\(\hat{w}_{b} \leftarrow w_{b}+r_{b}^{(w)} \bmod 4\)
\(\hat{d}_{b} \leftarrow \operatorname{Eval}_{n-f}^{<}\left(b, k_{b}^{<}, \hat{y}\right)-w_{b}+b \cdot 1\left\{\hat{y} \geqslant 2^{n-f-1}\right\}+\)
\(r_{b}^{(d)} \bmod 4\)
\((\hat{w}, \hat{d})=\) reconstruct \(\left(\hat{w}_{b}, \hat{d}_{b}\right)\)
\(\hat{i}=2 \cdot \hat{d}+\hat{w} \bmod 4\)
\(\boldsymbol{p}_{b}^{\prime}=\boldsymbol{p}_{b} \ggg \hat{i}\)
\(\hat{j}=\hat{d} \bmod 2\)
return \(\hat{u}_{b}=p_{b, 3}^{\prime} \cdot\left(\hat{x}+2^{n-f}\right)+p_{b, 2}^{\prime} \cdot \hat{x}+q_{b, \hat{j}}\)
\(\bmod N\)
图 4:ReLUExt 协议。
我们在图 4 中呈现了
定理 8。
成本对比。我们认为,我们新的融合协议构建方法可降低成本。使用 LLAMA[30]中的协议实现此功能的简单方法(通过截断后跟随 ReLU)需要密钥大小为
6.Softmax 协议
为了模仿[31]中的量化训练,我们使用浮点运算准确计算 softmax。为了安全地实现这一目标,
我们利用了最先进的 2PC 浮点库 SecFloat[54]。但是,为了让各方能够调用该库中的 softmax 协议,他们必须持有输入的浮点表示的秘密份额。因此,我们需要一个协议,将掩码后的定点值(来自 FSS 方案)转换为相应浮点值的秘密份额,根据[54]中的表示方式。同样地,为了在训练协议的其余部分使用 softmax 计算的输出,我们需要一个协议,将浮点值的秘密份额转换回相应的(掩码)定点值。我们首先介绍浮点表示和 softmax 的背景知识,然后在第 6.1 节和第 6.2 节中介绍我们的 FixToFloat 和 FloatToFix 协议。
浮点数表示。SECFLOAT [54]使用 4 个值来表示 32 位浮点数
软最大化。对于一个
其中
6.1. 整数转浮点数
要将定点数
作为
对于真实值和 ,我们滥用 来表示 。
注意当和 成立时。在 的情况下,只需找到 和 使得:
计算
作为 LHS 和 uint
计算机
注意
在上面的分数中,我们注意到当
综合起来,对于给定的
使用了
定理 9。
6.2. 浮点数到定点数转换
给定一个秘密共享的浮点值
6.3. 端到端训练
如前文第 5 节所述,用于卷积、矩阵乘法、ReLU、最大池化等的基于 FSS 的单个协议可以组合起来构建端到端协议。当卷积(或矩阵乘法)后跟 ReLU(或 ReLU+最大池化)时,它们被替换为卷积(相应地为矩阵乘法)后跟
预处理成本。在预处理阶段,交易商必须计算并传输密钥到
7.实施
我们将 Orca 作为一个易于使用的 C++库来实现。它包含了第 4 节和第 5 节中描述的 FSS 门的优化 GPU 内核。Orca 的软件框架支持实现 GPU 优化 FSS 协议所需的关键功能。我们利用 NVIDIA 的 CUDA 库中可用的优化内核,并在必要时编写自己的 CUDA 内核。与先前的 CryptGPU [60]不同,我们没有将 64 位整数嵌入 64 位浮点数中,以利用 NVIDIA 的 cuBLAS [1]和 cuDNN [7]库中的优化浮点内核。相反,与 Piranha [66]类似,我们坚持使用整数内核,以避免嵌入的开销。
表 2 列出了我们的框架实现为 GPU 内核的关键功能。它还报告了哪些是我们编写的(Orca)。我们使用来自 NVIDIA CUTLASS[5]的经过良好优化的 CUDA 内核来进行卷积和线性层中的矩阵乘法。其余的优化内核是作为本工作的一部分实现的。在第 33 节中,我们描述了我们执行的各种优化(AES、布局、内存)来加速 DCF。正如表中所注明的,我们将许多相同的面向 GPU 的优化应用于其他合适的内核。
我们框架的某些部分在 CPU 上运行。如第 6 节所述,我们使用 SecFloat [12]在浮点数上计算 softmax,只有 CPU 实现。此外,为了从定点转到浮点再转回,我们在 CPU 上实现了 FixToFloat 和 FloatToFix 协议,因为这些转换的成本很低,与浮点数 softmax 相比。
除了第 3 节提到的设计优化外,我们还通过以下几个实际考虑来确保软件栈的优化实现。对于 GPU 上每个 FSS 函数(如 DCF)的调用,需要分配 GPU 内存来保存该函数的密钥。在函数执行完成后,需要释放该内存。反复的 GPU 内存分配/释放会增加开销。为此,我们利用 CUDA 11.2 中引入的一种新功能 CUDA 内存池 [6],为密钥的快速分配/释放预留 GPU 内存。此外,我们在 CPU 上预分配主机端通信缓冲区,以避免运行时动态内存分配的开销。我们还将 CPU 主机内存页锁定,使用 DMA [9] 在 GPU 和 CPU 之间实现更快的数据传输。我们使用多个 CPU 线程来重叠读取 SSD 上的密钥到 CPU DRAM、启动 GPU 内核以及与其他方通信的 CPU 任务。
除了加快 FSS 评估之外,我们还使用 GPU 加快离线密钥生成。我们使用 cuRAND 库[4]在 GPU 上为交易商生成随机性,从而缩短离线计算时间。
我们扩展了 LLAMA [30],这是一个用于在 CPU 上进行基于 FSS 的推理的最先进工具,以支持训练。我们执行其推理协议来处理训练中出现的定点运算,并使用 ORCA 的实现来处理 softmax。我们将这个扩展后支持训练的 LLAMA 称为 LLAMA-T。
| 函数 | 描述 | 源文 | 优化 |
矩阵 乘法 |
乘两个矩阵 | 短剑 | |
| 卷积 | 执行卷积 | 剑刃 | |
| DCF | 如 16]中所述的折现现金流 |
ORCA | AES, 布局, 内存 |
| 放缓线性整流 | 图 3 中的 DReLU 协议 |
ORCA | AES, 布局, 内存 |
| 选择 | 第 1 图中的选择协议和 它在图 2 和图 4 中的变体 |
ORCA | 布局, 内存 |
位运算 和 |
对两个比特的安全 AND 计算 |
ORCA | 布局,内存 |
表 2:加速金融科技系统的关键组件
作为续集中的 LLAMA,并在第 8.3 节中量化地展示我们的系统和密码学贡献。
8. 评估
我们将 OrCA 与支持与我们相同威胁模型的最先进的安全 2PC 培训工具进行比较,即受信任的交易商在离线阶段向两方提供输入无关的相关随机性,然后两方在在线阶段运行用于敏感数据的 2PC 协议进行 ML 任务。我们提供了一个经验性评估来证明以下声明:
-
OrCA 忠实地实施了机器学习文献[31]中的量化训练算法,混合使用浮点和定点运算(图 5)。ORCA 在更短的时间内和 更少的通信量下,超越了 Piranha(当前最先进的加速安全训练的 GPU 模型)的精度(表 3)。 -
在相同的训练和推理任务中,Orca 在延迟方面的性能比(基于 GPU 的)PIRANHA 高出最多,在通信方面的性能也高出最多 (表 4)。OrcA 在 CPU 安全训练[40]方面的性能也高出最多 (表 6)。 -
OrCA 的基于 GPU 的协议比它们的 CPU 对应物(表 7)高达的效率。此外,OrCA 协议所需的 FSS 密钥的大小(见表 8)比最先进的 FSS 机器学习工具 LLAMA 低达 。 -
Orca 能够在亚秒级别进行 ImageNet 规模的 VGG-16 和 ResNet-50 模型推理(表 9),并且其性能比当前最先进水平高出一个数量级。
参数设置。我们评估了基于定点表示的 Orca 和 Piranha,位宽为
数据集和模型。我们使用与 PIRANHA 相同的训练评估数据集,即 10 类 MNIST 和 CIFAR。MNIST 的训练集有 60,000 张单色
P-VGG16c 用于 CIFAR。P-VGG16c 拥有超过 1 亿个参数,是 Piranha 最大的模型。这些模型使用近似方法,例如局部截断,这些方法未被最先进的基于 CPU 的安全训练工具所使用。为了与它们进行比较,我们使用了以下来自[40]的模型:Model-B
最后,我们还评估了 ImageNet-1000 [25]数据集的安全推理。这里的模型比 MNIST/CIFAR 模型大得多,因为它们操作的是
实验设置。我们在两台虚拟机上进行实验,它们连接在一个局域网设置中,带宽为 9.4 Gbps,RTT 为 0.05 ms,每台机器都配备有一个 NVIDIA RTX A6000 GPU,拥有 46 GB 的板载内存和一个 AMD Epyc 7742 处理器。每台机器都有将近 1 TB 的 RAM 和一个支持约 6 GBps 顺序读取带宽的 Samsung 980 PRO NVMe SSD。我们使用 4 个 CPU 内核来进行纯 CPU 实验。在 GPU 评估中,我们使用 4 个 CPU 内核来支持在 CPU 上运行的计算部分。此外,我们还使用另一个 CPU 内核从 SSD 读取密钥到 RAM。
据报告,ORCA 的训练时间包括将 FSS 密钥从 SSD 转移到 RAM 所需的时间,因为在许多迭代和时期的训练过程中,无法将所需的密钥全部储存在 RAM 中。这对于推理并不是问题,推理时间测量假设密钥已在 RAM 中。请注意,对于基线的训练和推理时间,均不包括将预处理材料加载到 RAM 中的时间。与[66]类似,对于所有基线和 OrCA,我们只报告在线时间。
8.1. 端到端 OrCA 训练
我们的目标是证明对于给定的分类任务,Orca 可以训练出与 Piranha 训练的模型精度相匹配的模型,同时所需的时间和通信大大减少。回忆一下,PiranHA 的 softmax 实现会泄露私人信息[64],而 OrCA 使用安全的浮点 softmax,有助于提供端到端的安全性。
| 准确性 | 时间 (分钟) | 通信(单位:GB) | ||||||||||
| 数据集 | PIRANHA | ORCA | PIRANHA | ORCA | PIRANHA | ORCA | ||||||
| MNIST |
|
97.1 |
|
14 |
|
50.2 | ||||||
| CIFAR-10 |
|
59.6 |
|
45 |
|
662.4 | ||||||
|
69 |
|
112 |
|
1656.1 | |||||||
表 3:OrCA 在更短的时间内和更低的通信下在 MNIST 和 CIFAR-10 上的匹配精度与 PiranHA 相当。
图 5:测试集上的交叉熵损失随训练迭代次数的变化。
在 MNIST 数据集上,Piranha 报告了一个准确度
在训练时间和大约 2TB 的通信量。表 3 显示 OrCA 在训练 CNN
在 CIFAR 数据集上,这是比 MNIST 更难的分类问题,改进效果更加显著。在训练
准确性。由于 Orca 忠实地评估 Gupta 等人[31]的模型,因此在(PyTorch)明文训练和安全训练之间没有准确性差距。我们也在图 5 中经验性地展示了这一点。相反,使用 PIRANHA 近似训练这些模型会导致
8.2.与基准的比较
接下来,我们在相同的模型上比较 OrCA 和基准线。特别是,我们在第 8.2.1 节将 OrCA 与 GPU-based Piranha 进行比较。在第 8.2.2 节中,我们将 OrCa 与最先进的基于 CPU 的安全训练[40]进行比较。
8.2.1.GPU 基线。我们在表 4 中将 OrCA 和 PIrANHA 与 Piranha 使用的基准进行比较。
| 时间 (毫秒) | 通信。(兆字节) | ||||||||
| 模型 | 任务 | 食人鱼 | ORCA | 食人鱼 | ORCA | ||||
| P-SecureML | 培训 |
|
76 |
|
5.45 | ||||
| 推理 |
|
6 |
|
2.56 | |||||
| P-LeNet
|
培训 |
|
174 |
|
63 | ||||
| 推理 |
|
45 |
|
38 | |||||
| P-AlexNet C | 培训 |
|
193 |
|
109 | ||||
| 推理 |
|
59 |
|
36 | |||||
| P-VGG16C | 培训 |
|
2489 |
|
1854 | ||||
| 推理 |
|
1387 |
|
911 | |||||
表 4:与 GPU 基准 PIRANHA 进行比较,进行一次训练迭代和批量大小为 128 的推理。
| 时间(秒) | 通信。(兆字节) | ||||||||
| 模型 | 任务 | PIRANHA | ORCA | PIRANHA | ORCA | ||||
| P-SecureML
|
培训 |
|
1.3 |
|
5.45 | ||||
| 推理 |
|
0.28 |
|
2.56 | |||||
| 培训 |
|
2.5 |
|
63 | |||||
| 推理 |
|
0.97 |
|
38 | |||||
| P-AlexNet
|
培训 |
|
4 |
|
109 | ||||
| 推理 |
|
1.4 |
|
36 | |||||
| 培训 |
|
38.4 |
|
1854 | |||||
| 推理 |
|
19 |
|
911 | |||||
表 5:与 GPU 基线 PIRANHA 在 WAN 环境(带宽 293 Mbps,延迟 60ms)下,批大小 128 的单次训练迭代和推理进行比较。
训练和推理任务。我们观察到 Orca 在延迟方面最高可达
8.2.2. CPU 基线。最新的 CPU 安全训练工作由 Keller 和 Sun[40]完成,在表 6 中显示为 KS。KS 中的安全训练使用忠实的 maxpools 和随机截断,但不支持局部截断。为了测量 KS 的运行时间,我们在 MP-SPDZ[38]中添加了仪表,以测量预处理材料已经加载到 RAM 中后在在线阶段的一次迭代所需的时间。表 6 显示,OrCA(使用随机截断、maxpools 和浮点 softmax)比 KS 快
| 时间(秒) | 通信量 (以兆字节为单位) | |||||||
| 模型 | KS | ORCA | KS | ORCA | ||||
|
|
|
1.42 |
|
86 | ||||
| 模型 B
|
|
1.47 |
|
121 | ||||
| 阿历克斯网
|
|
2.01 |
|
443 | ||||
|
|
|
2.43 |
|
678 | ||||
表 6:与 CPU 基线 KS [40]相比,批量大小为 100 的单次训练迭代。
| 数据集 | 模型 | 任务 | LLAMA | 我们的 CPU | 我们的 GPU | ||||
| MNIST | CNN2
|
培训 |
|
|
1.42 | ||||
| 推理 |
|
|
0.05 | ||||||
| CNN3
|
培训 |
|
|
2.43 | |||||
| 推理 |
|
|
0.76 |
表 7:LLAMA、我们的 CPU 和 GPU 实现在训练和推理(批量大小 100)单次迭代的延迟(以秒为单位)的对比。
8.3. 改进分类
LLAMA [30]是基于 FSS 的协议在 ML 任务中的最新技术,并且优于其他工具如 AriaNN [58]。从概念上讲,ORCA 在 LLAMA 的基础上做了两个性能改进。首先,它提供了新的协议,在 ML 任务中使用更小的 FSS 密钥并减少计算开销。其次,它使用 GPU 加速这些协议。在表 7 中,我们研究了协议和 GPU 分别对相比 LLAMA 的总体加速的贡献。在附录 A.2)中,我们比较了 LLAMA 和 Orca 的具体通信,注意到 Orca 的通信略有增加(最高 25%)。
整体而言,第 5 节中描述的 OrcA 协议相比 LLAMA 提供了大约
推理任务比训练任务表现更好加速,因为使用了浮点型 softmax。回忆一下,softmax 仅存在于训练中,而不存在于推理中,softmax 的指数运算使用了浮点型 2 PC 协议。
| 数据集 | 模型 | 任务 | LLAMA | ORCA | ||
| MNIST |
|
培训 |
|
0.75 | ||
| 推理 |
|
0.51 | ||||
| CIFAR-10 |
|
培训 |
|
11.51 | ||
| 推理 |
|
9.32 |
表 8:与 LLAMA 在单次训练和推理(批量 100)中的关键尺寸(以 GB 为单位)的比较。
| 模型 | LLAMA | 加密元 | ORCA | |||||||
|
|
时间
|
|||||||||
| VGG-16 |
|
|
|
|
||||||
| 残差网络-50 |
|
|
|
|
||||||
| 用深层剩余网络的 ResNet-18 |
|
|
|
|
||||||
表 9:使用 LLAMA(CPU)、CrypTen(GPU)、ORCA(位宽
从先前的工作[54]中发现,这些工作还未采用 FSS 或 GPU 进行加速。我们发现,一旦其他计算部分已通过 GPU 进行加速,softmax 即占据了相当大的训练运行时间。例如,一旦密钥存储在 RAM 中,在
我们在附录 A 图 6 中显示 GPU 可以将线性层和非线性层的速度提高一个数量级。
8.4. 安全的 ImageNet 推理
表 9 显示,Orca 实现了亚秒级 ImageNet-1000 安全推理。我们与采用相同威胁模型的最先进的安全 ImageNet 推理工作进行了定量比较。其中,CrypTen[41]使用 GPU,LLAMA[30]仅使用 CPU。我们将 CrypTen 的运行时间低估,方法是将其报告的通信除以我们设置的网络带宽。
使用比特宽度
尽管 OrCA 的 ResNet-50 的时间已经过去
9. 相关工作
这项工作关键地建立在几种现有技术的基础之上。Gupta 等人[31]提供了保留精度的量化训练算法和模型,这些成为我们安全实现的明文功能。另一方面,也可以不量化而在浮点数上运行完整的训练算法[53],但是这种选择成本更高。各种研究表明,GPU 在加速 MPC 协议方面非常有效[41]、[60]、[66]。由于通信开销无法通过 GPU 加速来减少,自然要考虑像 FSS[17]这样的低通信协议。我们使用 Piranha's[66]提出的评估线性层的高效 GPU 方法。对于 ReLU,已知存在非交互式协议[16]。我们在减少键大小和常见的机器学习操作(如 ReLU 和 ReLU 之后的 Maxpool)之间进行权衡。
安全训练是一个丰富的领域,有各种各样的技术。有一些缺乏加密安全保证的解决方案,如可信执行环境[69]和联邦学习[59]。还有一些补充性的技术,如差分隐私(DP)[14],[63]规定了哪些训练算法可以保护隐私,ORCA 可以安全地运行这些算法。在用于安全多方训练的加密技术中,已探索了各种威胁模型:
两方训练。两方持有秘密数据,使用 2PC 协议[15]、[37]、[49]训练联合模型。
两方培训与经销商。一位值得信赖的经销商为两方提供相关的随机性,它们可以更高效地运行其 2PC 协议。基于 FSS 的协议属于这一类[58]、[67]。
3 方诚实多数。三个非串谋方运行一个安全的培训协议[42]、[48]、[51]、[60]、[62]、[64]。M 方不诚实多数。
关于不涉及安全训练的安全推理的先前研究包括[21]、[22]、[30]、[32]、[35]、[36]、[43]、[44]、[47]、[55]-[57]。利用 GPU 加速非 FSS 协议的研究包括[28]、[33]、[47]、[50]、[52]、[60]、[66]。特别是 GFORCE[50]加速了基于 GPU 的安全 MNIST/CIFAR 推理,但未评估 ImageNet 推理和训练。与之前所有涉及神经网络安全训练的工作类似,我们将自己限制在半诚实对手模型中,因为恶意安全会带来额外的性能开销[24]、[27]、[38]、[42]、[51]、[70]。
10. 结论
奥卡通过在 GPU 上进行系统的改进以及利用新的密码技术来减小 FSS 密钥的大小,迈出了在实践中实现安全推理和训练的一步。这些措施使得安全训练 CIFAR 模型的时间缩短至 52 分钟,ImageNet-1000 模型的推理运行时间缩短至亚秒级。
我们还确定了未来工作的具体挑战:集成更新的 PCIe5 硬件和基于 GPU 加速的 FSS 协议,以实现准确的 softmax。
参考文献
[1] "NVIDIA GPU 上的基本线性代数," https://developer.nvidia. com/cublas
[2] "CUDA," https://docs.nvidia.com/cuda/cuda-toolkit-release-notes/ 内容.html
[3] "CUDA C++ 编程指南",https://docs.nvidia.com/cuda/ cuda-c-programming-guide/
[4] "cuRAND," https://developer.nvidia.com/curand
[5] "CUTLASS," https://github.com/NVIDIA/cutlass
[6] "使用新的 NVIDIA CUDA 11.2 功能增强内存分配," https://developer.nvidia.com/blog/ enhancing-memory-allocation-with-new-cuda-11-2-features/
[7] "NVIDIA cuDNN," https://developer.nvidia.com/cudnn
[8] "NVIDIA Nsight Compute," https://developer.nvidia.com/ nsight-compute
[9] "页面锁定的主机内存",https://docs.nvidia.com/cuda/cuda-c-programming-guide/index.html#page-locked-host-memory
[10] "PCI Express," https://zh.wikipedia.org/wiki/PCI_Express
[11] "PyTorch/CSPRNG",https://github.com/pytorch/csprng
[12] "SecFloat:准确的浮点运算满足安全的两方计算," https://github.com/mpc-msri/EzPC
[13] "使用 CUDA Warp 级原语",https://developer.nvidia.com/ 博客/使用 CUDA Warp 级原语/
[14] M. Abadi、A. Chu、I. Goodfellow、H. B. McMahan、I. Mironov、K. Talwar 和 L. Zhang,"具有差分隐私的深度学习",收录于 2016 年 ACM SIGSAC 计算机与通信安全会议论文集,2016 年。
[15]N. Agrawal, A. S. Shamsabadi, M. J. Kusner 和 A. Gascón,"QUOTIENT:两方安全神经网络训练和预测",CCS, 2019。
[16] E. Boyle, N. Chandran, N. Gilboa, D. Gupta, Y. Ishai, N. Kumar, and M. Rathee, "面向混合模式和固定点安全计算的函数秘密共享," EUROCRYPT, 2020.
[17] E. Boyle, N. Gilboa 和 Y. Ishai, "功能保密共享," 发表于 EUROCRYPT, 2015.
[18] 功能密钥共享: 改进与扩展, 在 CCS, 2016 中.
[19] —, "通过函数密钥共享进行预处理的安全计算," 收录于《密码理论与应用学会》, 2019 年.
[20] R. Canetti, "多方密码学协议的安全性与组合", 密码学期刊, 2000
[21] N. 陈德伦, D. 古普塔, S. L. B. Obbattu 和 A. 沙, "Simc: 在半诚实成本下提供抵御恶意客户的 M1 推理",《USENIX 安全研讨会》,2022 年.
[22] H. Chaudhari、A. Choudhury、A. Patra 和 A. Suresh, "Astra: 基于环的高吞吐量 3PC,应用于安全预测", 发表于 2019 年 CCSW 会议。
[23] 陈洪、金敏、拉泽恩斯泰因、罗塔鲁、宋元和瓦格,"恶意安全矩阵乘法及其在私人深度学习中的应用",2020 年亚洲密码学会议论文集。
[24] A. P. K. Dalskov, D. Escudero, 和 M. Keller, "量化神经网络的安全评估," PoPETs, 2020.
[25] J. Deng, W. Dong, R. Socher, L.-J. Li, K. Li, 和 L. Fei-Fei, "ImageNet: 一个大规模的层次化图像数据库," in CVPR, 2009.
[26] J. Doerner 和 A. Shelat,"为安全计算扩展 ORAM",收录于
[27] D. Escudero、S. Ghosh、M. Keller、R. Rachuri 和 P. Scholl,"面向混合算术-二进制电路的 MPC 的改进原语",《密码学》,2020 年。
[28] T. K. Frederiksen, T. P. Jakobsen 和 J. B. Nielsen,"利用 GPU 实现更快速的恶意安全的两方计算",载于《SCN》, 2014 年.
[29]奥. 戈德赖克,S. 米卡利和 A. 维格特森,"如何玩任何精神游戏或诚实多数协议的完全性定理,"载于 STOC, 1987。
[30] K. Gupta, D. Kumaraswamy, N. Chandran, and D. Gupta, "Llama: A low latency math library for secure inference," in PETS, 2022.
[31] S. 古普塔, A. 阿格拉瓦尔, K. 戈帕拉克里希南和 P. 那拉亚南, "有限数值精度的深度学习."在 ICML, 2015.
[32] Z. Huang, W. jie Lu, C. Hong, 和 J. Ding, "Cheetah: 精简和快速的安全两方深度神经网络推理," 在 USENIX 安全研讨会, 2022.
[33] N. Husted, S. Myers, A. Shelat 和 P. Grubbs, "诚实但好奇的安全两方计算的 GPU 和 CPU 并行化," 在 ACSAC, 2013.
[34] N. Jawalkar, K. Gupta, A. Basu, N. Chandran, D. Gupta 和 R. Sharma,"Orca: 基于 FSS 的 GPU 安全训练",密码学 ePrint 档案,文章 2023/206,2023 年。
[35] C. Juvekar, V. Vaikuntanathan 和 A. Chandrakasan, "Gazelle:一个低延迟的安全神经网络推理框架,"在 USENIX Security Symposium, 2018.
【36】G. Kaissis, A. Ziller, J. Passerat-Palmbach, T. Ryffel, D. Usynin, A. Trask, I. Lima, J. Mancuso, F. Jungmann, M.-M. Steinborn, A. Saleh, M. Makowski, D. Rueckert, and R. Braren, "面向跨机构医学影像的隐私保护深度学习",《自然机器智能》, 2021 年。
[37] M. Kelkar, P. H. Le, M. Raykova 和 K. Seth, "安全泊松回归",2022 年 USENIX 安全研讨会。
[38] M. Keller, "MP-SPDZ: 一个多方计算的通用框架," 收录于 CCS, 2020.
[39]M. Keller 和 K. Sun,"MPC 友好型 softmax 替换的有效性",arXiv 预印本 arXiv:2011.11202,2020。
[40] ——, "深度学习的安全量化训练," 在 ICML, 2022.
[41] B. 诺特, S. 文卡特拉曼, A. 韩楠, S. 森格普塔, M. 易卜拉欣, 以及 L. 范德·马滕, "CrypTen: 安全的多方计算与机器学习", 发表于 NeurIPS, 2021
[42] N. Koti, M. Pancholi, A. Patra 和 A. Suresh, "SWIFT: 超快和强大的隐私保护机器学习",USENIX 安全研讨会, 2021.
[43] 库玛尔, N.,拉提, M.,钱德兰, N.,古普塔, D.,拉斯托吉, A.,以及夏尔马, R.,"Cryptflow: 安全的 TensorFlow 推理",在 IEEE
[44] R. Lehmkuhl, P. Mishra, A. Srinivasan, 和 R. A. Popa, "Muse: 抵御恶意客户端的安全推理", 在 USENIX Security Symposium, 2021 年.
[45] 李扬、段玉、黄兆、洪程、张晨、宋佑, "使用于恶意安全 DNN 推理的二进制电路高效 3PC", 2023 年 USENIX 安全研讨会.
[46] Y. 林德尔, "如何模拟它 - 模拟证明技术教程," 密码学基础教程, 2017 年。
[47] P. Mishra, R. Lehmkuhl, A. Srinivasan, W. Zheng 和 R. A. Popa,"Delphi:神经网络的一种加密推理服务",收录于 2020 年 USENIX 安全研讨会论文集。
[48] P. Mohassel 和 P. Rindal, "ABY"一种用于机器学习的混合协议框架,"在 CCS,2018 年。
[49] P. Mohassel 和 Y. Zhang, "SecureML: 一种可扩展的隐私保护机器学习系统," IEEE S&P, 2017.
[50] L. K. L. Ng 和 S. S. M. Chow, "Gforce: 面向 GPU 的隐私保护和快速神经网络推理," 发表于 USENIX Security Symposium, 2021.
[51] A. Patra 和 A. Suresh, "Blaze: 极速隐私保护机器学习," 在 NDSS, 2020.
[52] R. Poddar,G. Ananthanarayanan,S. Setty,S. Volos,和 R. A. Popa,"Visor:隐私保护的视频分析即服务",在 USENIX 安全研讨会上,2020 年。
[53] D. Rathee, A. Bhattacharya, D. Gupta, R. Sharma, 和 D. Song, "安全浮点训练," 载于 USENIX Security Symposium 2023.
[54] D. Rathee, A. Bhattacharya, R. Sharma, D. Gupta, N. Chandran, and A. Rastogi, "SecFloat: Accurate Floating-Point meets Secure 2-Party Computation," in IEEE
[55] 德. 拉特希、M. 拉特希、R. K. K. 高利、D. 古普塔、R. 夏尔马、N. 钱德兰和 A. 拉斯托吉, "SIRNN: 用于安全推断 RNNs 的数学库," 发表于 IEEE
[56] D. Rathee, M. Rathee, N. Kumar, N. Chandran, D. Gupta, A. Rastogi 和 R. Sharma, "CrypTFlow2: 实用的 2 方安全推理,"发表于 CCS, 2020 年。
[57] M. S. Riazi, C. Weinert, O. Tkachenko, E. M. Songhori, T. Schneider, and F. Koushanfar, "Chameleon: A hybrid secure computation framework for machine learning applications," in ASIACCS, 2018.
[58] T. Ryffel、D. Pointcheval 和 F. Bach,"ARIANN:通过函数隐秘共享实现低交互性隐私保护深度学习",在 PETS,2022 年。
[59] S. Sav, A. Pyrgelis, J. R. Troncoso-Pastoriza, D. Froelicher, J. Bossuat, J. S. Sousa, and J. Hubaux, "POSEIDON: 隐私保护联邦神经网络学习," in NDSS, 2021.
[60] 陈昆, 布兰特·诺特, 田阳和吴敦杰, "CryptGPU: 在 GPU 上快速实现隐私保护机器学习," 于 IEEE
[61] C. Tezcan, "在图形处理单元上优化高级加密标准," IEEE Access, 第 9 卷, 第 67315-67326 页, 2021 年
[62] 瓦格、古普塔和钱德兰,"SecureNN:神经网络训练的三方安全计算",PoPETs,2019。
[63] S. Wagh, X. He, A. Machanavajjhala, 和 P. Mittal, "Dpcryptography: 在新兴应用中融合差分隐私和密码学," Commun. ACM, 2021.
[64] 瓦格、托普利、本哈穆达、库希雷维茨、米塔尔和拉宾. "Falcon:基于诚实多数的恶意安全的私有深度学习框架",隐私增强技术, 2021 年.
[65] 王康、付赛尔和林超, "GPU 上快速细粒度全局同步", 收录于 ASPLOS, 2019.
[66] J.-L. Watson, S. Wagh, and R. A. Popa, "Piranha: A GPU Platform for Secure Computation," in USENIX Security Symposium, 2022. 简体中文翻译: [66] J.-L. Watson、S. Wagh 和 R. A. Popa, "Piranha: 用于安全计算的 GPU 平台," 发表于 USENIX 安全研讨会, 2022 年.
[67] 杨蓬、姜志林、高嵩、庄剑、王昊、方剑、姚圣、吴源,"Fssnn:通过功能密钥共享实现高效安全神经网络训练",密码学电子打印档案,论文 2023/073, 2023.
姚晓春,"安全计算的协议",载于 1982 年计算机基础理论学术年会。
[69]P. Yuhala、P. Felber、V. Schiavoni 和 A. Tchana,"Plinius:机器学习模型培训的安全和持久性",收录于 2021 年 DSN 会议.
[70] W. 郑, R. A. 普帕, J. E. 冈萨雷斯和 I. 斯托伊卡, "Helen: 用于线性模型的恶意安全合作式学习," 载于 IEEE
(a) 在
(b) 随机截断 + ReLU 在输入大小递增的情况下。输入大小
图 6:CPU 和 GPU 上的在线时间对比
(c) 随机截断 + ReLU + 最大池化在一个
(d) 随机截断 + ReLU + 最大池化在一个
附录 A.
额外的实证结果
A.1. 微基准测试
我们在图 6 中分别展示了 GPU 在线性层和非线性层的加速情况。在不同大小的微基准中,ORCA 中基于 GPU 的协议比其 CPU 对应物快一个数量级。
网上交流
我们在表 10 中显示,Orca 的在线通信略高于 LLAMA。
| 数据集 | 模型 | 任务 | LLAMA | ORCA | ||
| MNIST | CNN2
|
培训 |
|
86 | ||
| 推理 |
|
28 | ||||
| CIFAR-10 | CNN3
|
培训 |
|
678 | ||
| 推理 |
|
411 |
表 10:LLAMA 和 OrcA 单次训练和推理的通信量(单位:MB)比较,批量大小为 100。
ImageNet 推理任务的关键尺寸
表 11 显示了 ORCA 和 LLAMA 所需的各种 ImageNet 推理任务的关键尺寸。
| 模型 | LLAMA | 奥尔卡 | |
|
|
密钥大小
|
||
| VGG-16 | 50.54 | 13.13 |
|
| 残差网络-50 | 47.69 | 9.9 |
|
| 用深层剩余网络的 ResNet-18 | 11.43 | 2.78 |
|
表 11:LLAMA(CPU)中具有位宽
| 模型 | 密钥大小 (以百万 GB 计) |
关键读取 |
计算 |
奥尔卡 |
| P-SecureML
|
0.03 | 5 |
|
76 |
| P-LeNet
|
0.36 | 63 |
|
174 |
| CNN2
|
0.75 | 129 |
|
1415 |
| 模型 B
|
1.27 | 219 |
|
1466 |
| P-AlexNet
|
0.34 | 64 |
|
193 |
| 阿历克斯网
|
8.34 | 1387 |
|
2011 |
| CNN3
|
11.51 | 1911 |
|
2432 |
| P-VGG16
|
15.1 |
|
2310 | 2489 |
表 12:ORCA 不同模型一次训练迭代的密钥大小、密钥读取时间和计算时间(包括通信)。最后一列报告密钥读取时间和计算时间中较大的一个。
重叠的关键读取
表 12 显示了 OrCA 在一次训练迭代中读取密钥以及进行计算(包括通信时间)所花费的时间。由于在 Orca 中密钥读取和计算是重叠的,一次训练迭代的时间取决于这两者中较大的时间。
附录 B.随机截断+ReLU+最大池化
在许多网络中,连续使用卷积层、ReLU 层和 MaxPool 层是很常见的。因为在固定点训练的情况下,卷积总是被截断所跟随,因此截断、ReLU 和 MaxPool 是连续发生的。因此,我们需要一个关于随机截断+ReLU+MaxPool 的协议。我们注意到,这种融合操作的结果并不取决于 ReLU 和 Maxpool 的应用顺序。因此,许多现有的工作在 MaxPool 之后执行 ReLU[43]、[56],因为这减少了需要计算
LLAMA [30]提供了一种用于 MaxPool 的协议,该协议在内部使用来自[16]的基于样条的 ReLU 协议来计算两个元素的最大值。首先,我们将这个 ReLU 替换为我们的协议
-
随机截断将输入减少到位。 -
将修改后的统一位宽 MaxPool 协议应用于位截断输出。 -
将协议应用于生成的 位值,以获得 位结果。
在上述协议中,所有比较都是在(
定理 11. 存在一种协议
相比之下,基线[30]的关键大小大约为
附录 C。
随机截断-降维
引理 1 的证明
引理 1。对于具有潜在值
因此,
证明。要推导出第一个方程式,我们有:
让
Stochastic Truncate-Reduce \(\prod_{n, f}^{\text {stTR }}\)
\(\operatorname{Gen}_{n, f}^{\text {stTR }}\left(r^{\text {in }}, r^{\text {out }}\right):\)
\(s \stackrel{\&}{\leftarrow} \mathbb{U}_{2 f}\)
\(r^{(t)}=\mathrm{r}^{\text {in }} \bmod 2^{f}\)
\(\hat{s}=s+r^{(t)} \bmod 2^{f}\)
\(\left(k_{0}^{>}, k_{1}^{>}\right) \leftarrow \operatorname{Gen}_{f}^{>}\left(1^{\lambda}, \hat{s}, 1, \mathbb{U}_{2}\right)\)
\(z \stackrel{\&}{\leftarrow} \mathbb{U}_{2} ; r^{(w)}=\operatorname{extend}(z, n-f)\)
\(r=r^{\text {out }}-\operatorname{TR}\left(\mathrm{r}^{\text {in }}, f\right)-1\left\{\hat{s}<r^{(t)}\right\}\)
share \(r, r^{(w)}\)
For \(b \in\{0,1\}, k_{b}=k_{b}^{>}\left\|r_{b}^{(w)}\right\| r_{b}\)
\(\mathrm{Eval}_{n, f}^{\mathrm{stTR}}\left(b, k_{b}, \hat{x}\right):\)
Parse \(k_{b}\) as \(k_{b}^{>}\left\|r_{b}^{(w)}\right\| r_{b}\)
\(\hat{t}=\hat{x} \bmod 2^{f}\)
\(\hat{w}_{b} \leftarrow \operatorname{Eval}_{f}^{>}\left(b, k_{b}^{>}, \hat{t}\right)+r_{b}^{(w)} \bmod 2\)
\(\hat{w}=\operatorname{reconstruct}\left(\hat{w}_{b}\right)\)
\(c_{b}=r_{b}^{(w)}+\operatorname{extend}(\hat{w}, n-f) \cdot\left(b-2 r_{b}^{(w)}\right)\)
return \(\hat{y}_{b}=b \cdot \operatorname{TR}(\hat{x}, f)+r_{b}+c_{b}\)
图 7:stTR 的协议。
请注意,术语
现在,我们得出第二个表达式,即随机抽取的
在这种情况下, 。
在这种情况下,
两种情况相差 1,可以由此简单组合:
我们通过添加两个表达式(根据定义)来推导出
C.2. 随机截断缩减协议
我们在图 7 中提供了一个正式的协议
安全性证明
为了简化证明,我们考虑了一个真实交互,其中除了
模拟器。对于
-
从中随机挑选 。 -
-
调用来获得 。 -
设置
。 -
随机挑选并设置 。 -
运行步骤 5 来计算。 -
设置
。
很容易论证在存在上述模拟器的情况下,真实交互中的对手视图和诚实方输出的联合分布与理想交互中的是不可区分的。
附录 D.固定和浮点之间的相互转换
我们的固定到浮动协议使用了一个 FSS 门来实现来自[16]的多个区间包含,总结如下。
多区间包含
对于公共参数数组
[16]提供了一种协议
定理 12(多区间包容[16])。
D.2. 协议为
请记住,我们需要使用第 6.1 节中的表达式来计算
令
我们在图 8 中描述了 FixToFloat
定理 13。
安全性证明。对于
-
随机抽取和 从 。 -
随机抽取和 从 。 -
集合
。 -
随机采样,条件为 的最低有效位为 0。
FixToFloat \(\Pi_{n}^{\text {FixToFloat }}\)
\(\operatorname{Gen}_{n, f}^{\text {FixToFloat }}\left(r^{\text {in }}\right)\) :
Let \(\boldsymbol{p}=\boldsymbol{p}^{(n)}\) and \(\boldsymbol{q}=\boldsymbol{q}^{(n)}\)
\(\left(k_{0}^{(\mathrm{MIC})}, k_{1}^{(\mathrm{MIC})}\right) \leftarrow \operatorname{Gen}_{n, \boldsymbol{p}, \boldsymbol{q}}^{\mathrm{MIC}}\left(\mathrm{r}^{\text {in }}, 0\right)\)
\(r^{(s)} \stackrel{\&}{\leftarrow} \mathbb{U}_{2}\)
\(r^{(u)} \stackrel{\&}{\leftarrow} \mathbb{U}_{N}\)
\(r^{\text {(select) }} \stackrel{8}{\leftarrow} \mathbb{U}_{N}\)
\(\left(k_{0}^{\text {(select) }}, k_{1}^{\text {(select) }}\right) \leftarrow \operatorname{Gen}_{n}^{\text {select }}\left(r^{(s)}, r^{\text {in }}, r^{\text {(select) }}\right)\)
\(r^{(y)}=2 \cdot r^{(\text {select })}-r^{\text {in }}\)
\(r^{(z)} \stackrel{8}{\leftarrow} \mathbb{U}_{N}\)
\(c=r^{(u)} \cdot r^{(y)}+r^{(z)}\)
\(\left(k_{0}^{\mathrm{TR}}, k_{1}^{\mathrm{TR}}\right) \leftarrow \operatorname{Gen}_{n, n-24}^{\mathrm{TR}}\left(r^{(z)}, 0\right)\)
share \(\left(r^{(s)}, r^{(u)}, r^{(y)}, c\right)\)
\(\mathrm{al}_{n, f}^{\text {FixToFloat }}\left(b, k_{b}, \hat{x}\right):\)
Let \(\boldsymbol{p}=\boldsymbol{p}^{(n)}\) and \(\boldsymbol{q}=\boldsymbol{q}^{(n)}\)
Parse \(k_{b}\) as \(k_{b}^{(\text {MIC })}\left\|k_{b}^{(\text {select })}\right\| r_{b}^{(s)}\left\|r_{b}^{(u)}\right\| r_{b}^{(y)}\left\|c_{b}\right\| k_{b}^{\text {TR }}\)
\(\boldsymbol{t}_{b} \leftarrow \operatorname{Eval}_{n, \boldsymbol{p}, \boldsymbol{q}}^{\mathrm{MIC}}\left(b, k_{b}^{(\mathrm{MIC})}, \hat{x}\right)\)
\(z_{b}=t_{b, 0} \bmod 2\)
\(s_{b}=\sum_{i=n}^{2 n-1} t_{b, i} \bmod 2\)
\(\hat{s}_{b}=s_{b}+r_{b}^{(s)}\)
\(e_{b}=-126 \cdot t_{b, 0}+(n-f-1) \cdot t_{b, n}+\sum_{i=1}^{n-1}\left(t_{b, i}+\right.\)
\(\left.t_{b, 2 n-i}\right) \cdot(i-f-2)\)
\(\hat{u}_{b}=r_{b}^{(u)}+t_{b, n}+\sum_{i=1}^{n-1}\left(t_{b, i}+t_{b, 2 n-i}\right) \cdot 2^{n-i}\)
\((\hat{s}, \hat{u})=\) reconstruct \(\left(\hat{s}_{b}, \hat{u}_{b}\right)\)
\(\hat{y}_{b} \leftarrow 2 \cdot \operatorname{Eval}_{n}^{\text {select }}\left(b, k_{b}^{\text {(select) }}, 1-\hat{s}, \hat{x}\right)-b \cdot \hat{x}\)
\(\hat{y}=\) reconstruct \(\left(\hat{y}_{b}\right)\)
\(\hat{z}_{b}=b \cdot \hat{y} \cdot \hat{u}-r_{b}^{(y)} \cdot \hat{u}-r_{b}^{(u)} \cdot \hat{y}+c_{b}\)
\(\hat{z}=\) reconstruct \(\left(\hat{z}_{b}\right)\)
\(m_{b} \leftarrow \operatorname{Eval}_{n, n-24}^{\top R}\left(b, k_{b}^{\top R}, \hat{z}\right)\)
return \(\left(z_{b}, s_{b}, e_{b}, m_{b}\right)\)
图 8:FixToFloat 的协议。
-
调用输入 和输出 来生成 。 -
集合
-
随机采样从 。 -
集合
-
设置
-
调用并输入 和输出 来获得 。 -
随机从受制于第 4、5 和 7 行中所述的约束的科目中抽取样本 ,在 Eval 中进行 -
根据 Eval 第 8 行计算。 -
调用以输入 和输出 来生成 。
D.3. 浮点数到固定点数
对于给定的浮点数
但是,由于我们只关注 softmax 输出,我们将讨论局限于当
我们放弃了
我们现在讨论如何安全地评估上述计算。请注意,由于
考虑上述表达式中的四个术语:
: 为计算此术语的份额,交易商提供了一个 的一热向量的秘密份额。然后,评估者只需将向量的份额旋转 即可获得 的一热向量的份额。评估者现在可以计算此向量与包含 的向量的点积,对于索引 为 1,否则为 0。结果值是 的一个份额,可以与 局部乘以以获得所需的份额。
:由于评估人员已经拥有一个独热向量共享,他们可以以与 相同的方式计算 的共享。
:正如交易商所知,它秘密分享包含 的向量,对于所有索引 ,否则为 0。评估者只需在 处索引数组即可获得所需的份额。
:这个术语的股份可以简单地使用 DCF 关键字进行计算,就像我们的其他协议一样。
FixToFloat 的最终表达式可以通过调用乘法协议和这些项目的本地加法安全计算,然后再调用 ARS 协议的最终调用。请注意,上述讨论会自动处理当
FloatToFix \(\Pi_{n, f}^{\text {FloatToFix }}\)
\(\operatorname{Gen}_{n, f}^{\text {FloatToFix }}\left(r^{\text {out }}\right):\)
\(r^{(m)} \stackrel{8}{\leftarrow} \mathbb{U}_{2^{24}}\)
\(r^{\left(e^{\prime}\right)} \stackrel{8}{\leftarrow} \mathbb{U}_{1024}\)
\(r^{(w)} \stackrel{\S}{\leftarrow} \mathbb{U}_{2}\)
\(r^{(h)} \stackrel{\$}{\leftarrow} \mathbb{U}_{N}\)
\(r^{(t)} \stackrel{\otimes}{\leftarrow} \mathbb{U}_{N}\)
\(\left(k_{0}^{<}, k_{1}^{<}\right) \leftarrow \operatorname{Gen}_{24}^{<}\left(1^{\lambda}, r^{(m)}, 1, \mathbb{U}_{2}\right)\)
Let \(\boldsymbol{p}=\left\{1\left\{i=1024-r^{\left(e^{\prime}\right)}\right\}\right\}_{i} \in \mathbb{U}_{N}^{1024}\)
Let \(\boldsymbol{q}=\left\{r^{(t)}-r^{(m)} \cdot \operatorname{pow}_{f}\left(i-r^{\left(e^{\prime}\right)}\right)\right\}_{i} \in \mathbb{U}_{N}^{1024}\).
share \(\left(r^{(m)}, r^{\left(e^{\prime}\right)}, r^{(w)}, r^{(h)}, \boldsymbol{p}, \boldsymbol{q}\right)\)
\(\left(k_{0}^{\text {(select) }}, k_{1}^{\text {(select) }}\right) \leftarrow \operatorname{Gen}_{n}^{\text {select }}\left(r^{(w)}, r^{(h)}, 0\right)\)
\(\left(k_{0}^{(\mathrm{ARS})}, k_{1}^{(\mathrm{ARS})}\right) \leftarrow \operatorname{Gen}_{n, 23}^{\text {ARS }}\left(r^{(t)}, \mathrm{r}^{\text {out }}\right)\)
For \(b \in\{0,1\}, k_{b}=k_{b}^{<}\left\|k_{b}^{\text {select }}\right\| r_{b}^{(m)}\left\|r_{b}^{\left(e^{\prime}\right)}\right\| r_{b}^{(w)} \|\)
\(r_{b}^{(h)}\left\|\boldsymbol{p}_{b}\right\| \boldsymbol{q}_{b} \| k_{b}^{(\text {ARS })}\)
\(\operatorname{Eval}_{n, f}^{\text {FloatToFix }}\left(b, k_{b},\left(m_{b}, e_{b}\right)\right):\)
Parse \(k_{b}\) as \(k_{b}^{<}\left\|k_{b}^{\text {select }}\right\| r_{b}^{(m)}\left\|r_{b}^{\left(e^{\prime}\right)}\right\| r_{b}^{(w)}\left\|r_{b}^{(h)}\right\| \boldsymbol{p}_{b} \| \boldsymbol{q}_{b}\)
\(\| k_{b}^{(\text {ARS })}\)
\(\hat{m}_{b}=m_{b}+r_{b}^{(m)}\)
\(\hat{e}_{b}^{\prime}=e_{b}+r_{b}^{\left(e^{\prime}\right)}+b \cdot f\)
\(\left(\hat{m}, \hat{e}^{\prime}\right)=\) reconstruct \(\left(\hat{m}_{b}, \hat{e}_{b}^{\prime}\right)\)
\(\hat{w}_{b} \leftarrow \operatorname{Eval}_{24}^{<}\left(b, k_{b}^{<}, \hat{m}\right)+r_{b}^{(w)} \bmod 2\)
\(\boldsymbol{p}_{b}^{\prime}=\boldsymbol{p}_{b} \ggg \hat{e}^{\prime}\)
\(d_{b}=\sum_{i=0}^{1023} \operatorname{pow}_{f}(i) \cdot p_{b, i}^{\prime}\)
\(\hat{h}_{b}=r_{b}^{(h)}+2^{24} \cdot d_{b}\)
\((\hat{w}, \hat{h})=\operatorname{reconstruct}\left(\hat{w}_{b}, \hat{h}_{b}\right)\)
\(\hat{t}_{b}=q_{b, \hat{e}^{\prime}}+\operatorname{Eval}_{n}^{\text {select) }}\left(b, k_{b}^{\text {(select) }}, \hat{w}, \hat{h}\right)+\hat{m} \cdot d_{b}\)
\(\hat{t}=\) reconstruct \(\left(\hat{t}_{b}\right)\)
\(\hat{x}_{b} \leftarrow \operatorname{Eval}_{n, 23}^{\mathrm{ARS}}\left(b, k_{b}^{\mathrm{ARS}}, \hat{t}\right)\)
return \(\hat{x}_{b}\)
图 9:FloatToFix 协议。这里,
协议,
定理 10.
安全性证明。对于
-
从中随机选取 和 。 -
随机抽取和 从 。 -
集合和 -
随机抽取和 从 。 -
使用生成 并计算 -
随机采样从 。 -
集合
。 -
集合
-
从中随机抽样 和 -
计算。 -
集合
-
集合
。 -
从中随机抽取 。 -
使用和输入 生成 并输出 。 -
集合
-
使用和输入 生成 并输出 。
注意。
附录 E.
端到端训练协议
基于前面讨论的协议,我们现在探讨如何将它们组合起来,以获得一个用于安全计算任意函数的端到端协议。假设明文函数由两个顺序执行的功能
现在我们考虑固定点训练的情况。设全局固定点尺度为
正向传递。任何形式为卷积-ReLU-最大池化的序列都可以使用卷积的协议后跟着
Softmax。正向传播协议的掩码固定点输出然后使用协议
反向传递。在前向传递期间计算的 DReLU 的输出可以在反向传递期间重复使用;ReLU 因此通过调用
附录 F. ReLU-Extend 的安全证明
对于
-
通过调用来生成 。运行 以获得 。 -
随机采样。 -
使用中的步骤 在 Eval 中计算 -
集合和 。 -
集合
。 -
随机采样并设置 。 -
集合
。 -
随机采样。 -
集合
。 -
集合
附录 G。
使用 FSS 协议的食人鱼功能
我们展示了如何建立基于 FSS 的协议来实现 PiranHA[66]所使用的功能。这些功能在我们的库中实现,以直接比较 Orca 和 Piranha 在相同基准上的性能。
局部截断 + ReLU
正如几项先前的安全训练工作中所讨论的,各方本地截断了他们的秘密份额。在 FSS 设置中,这意味着交易商截断了遮罩,而评估者则截断了遮罩值。在与这些工作进行比较时,为了做到苹果对苹果,我们提供了基于 FSS 的协议和这种设置的优化方案。我们将截断与非激活函数(如 ReLU 或 ReLU+Maxpool)融合的想法也适用于本地截断,并且相比于顺序计算的简单方法,结果密钥尺寸更小。
一个实现
-
我们将来自[16]的单轮 ReLU 协议替换为第 5.1 节中的双轮协议,密钥大小更小。 -
由于值可以准确地表示在 位中,我们优化了计算 DReLU 位所需的比较,使之在 位宽度上进行。
我们在图 10 中展示了 LocalTruncate + ReLU 全部协议,并总结了其成本如下定理:
定理 14。
天真的未优化的方法需要
Local-Truncate + ReLU \(\Pi_{n, f}^{\text {localTrReLU }}\left(\mathbb{G}^{\text {out }}=\mathbb{U}_{N}\right)\)
\(\operatorname{Gen}_{n, f}^{\text {localTrReLU }}\left(\mathrm{r}^{\text {in }}, \mathrm{r}^{\text {out }}\right):\)
\(\left(k_{0}^{<}, k_{1}^{<}\right) \leftarrow \operatorname{Gen}_{n-f}^{<}\left(1^{\lambda}, r^{\prime}, 1, \mathbb{U}_{2}\right)\)
\(r^{(d)} \stackrel{8}{\leftarrow} \mathbb{U}_{2}\)
share \(r^{(d)}\)
\(\left(k_{0}^{\text {(select) }}, k_{1}^{\text {(select) }}\right) \leftarrow \operatorname{Gen}_{n}^{\text {select }}\left(r^{(d)}, r^{\prime}, r^{\text {out }}\right)\)
For \(b \in\{0,1\}, k_{b}=k_{b}^{<}\left\|r_{b}^{(d)}\right\| k_{b}^{(\text {select })}\)
Eval \({ }_{n, f}^{\text {localTrReLU }}\left(b, k_{b}, \hat{x}\right):\)
Parse \(k_{b}\) as \(k_{b}^{<}\left\|r_{b}^{(d)}\right\| k_{b}^{(\text {select) }}\)
\(\hat{x}^{\prime}=\hat{x} \gg_{L} f\)
\(\hat{y}^{\prime}=\hat{x}^{\prime}+2^{n-f-1} \bmod 2^{n-f}\)
\(t_{b} \leftarrow \operatorname{Eval}_{n-f}^{<}\left(b, k_{b}^{<}, \hat{y}^{\prime}\right)-\operatorname{Eval}_{n-f}^{<}\left(b, k_{b}^{<}, \hat{x}^{\prime}\right)\)
\(\hat{d}_{b}=t_{b}+b \cdot 1\left\{\hat{y}^{\prime} \geqslant 2^{n-f-1}\right\}+r_{b}^{(d)} \bmod 2\)
\(\hat{d}=\) reconstruct \(\left(\hat{d}_{b}\right)\)
return \(\hat{u}_{b} \leftarrow \operatorname{Eval}_{n-f}^{\text {select }}\left(b, k_{b}^{\text {(select) }}, \hat{d}, \hat{x}^{\prime}\right)\)
图 10:Local-Truncate + ReLU 协议。
根据附录 B 中描述的想法,在较小的位宽上计算所有内部 DReLU 位。
逼近 Softmax
皮拉尼亚使用等式 1 来实现带有以下指数和逆近似的 softmax。
附录 H.
正确的 DReLU 偏移功能
从偏移函数的定义开始,我们得到:
让
案例 1:
案例 2:
由于两种情况下的表达式恰好相差 1,合并这两种情况,得到:
现在,为进一步简化
引理 3(来自[16]的引理 1)。设
在上面的引理中,如果我们设置
我们观察到
把这个结果代入方程式 2,我们得到:
附录 I.
引理 2 的证明
引理 2。对于
证明。如 stTR
附录 J.
FSS 方案的正确性和安全性
正确性:对于所有描述 ,并且对每个 ,如果 则 。
安全性:对于每个都有一个 PPT 算法 (模拟器),使得对于来自 的任何多项式大小的函数描述序列 和 的多项式大小输入序列 ,以下真实和理想实验的输出在计算上是无法区分的:
真实的;输出 。
理想的输出 。
附录 K.我们的威胁模型
2 方安全计算(2PC)使得两个当事方
附录 L.
来自 IEEE S&P 2024 的综述
L.1. 概要
本论文描述了利用函数密码共享(FSS)和 GPU 计算来加速安全机器学习(ML)训练的方法,适用于双方(2PC)场景。为了加速 FSS,本文提出了几种针对 GPU 内部结构设计的优化/工程步骤。此外,该系统还提出了 FSS 原语的变体,旨在优化原始实现中观察到的性能瓶颈。
二、科学贡献
创造新工具以促进未来科学发展
为成熟领域提供了宝贵的前进一步
开创了一个新的研究方向
获得认可的原因
-
创造一种新的工具来推动未来科学:该提议的系统通过利用 GPU 和新的密码学技术的进步来加速基于 FSS 的协议,从而向实用的安全推断和训练迈进。 -
为已有领域提供了宝贵的进步:所提出的系统在所有测试的性能和准确性指标上都超越了竞争对手。 -
确立了一个新的研究方向:作者基于初步分析确定的 GPU 使用过程中的瓶颈,开发了实用的优化方案。审稿人认可了作者在集成包括功能保密分享(FSS)在内的先进技术所付出的可嘉努力。
固定点和浮点算术,以及 GPU 加速,开发了本研究中提出的综合系统。
值得注意的关切
-
审阅者建议在正文中增加一些关于 2 个 PC 预处理的细节,这将非常有益。 -
评审员一致认为,该协议的写作风格过于密集,使得每个协议的关键贡献难以理解。如果相应部分的表述方式更加通俗易懂,这篇论文将会受益。
这个版本报告了改善的延迟,这是由于解决了评估设置中使用的固态硬盘中的问题,与将出现在 2024 年 IEEE S&P 中的版本相比- 同等贡献。
该工作的一部分在微软研究院印度分部完成
我们注意到,通常会假设计算中出现的最大值可以用比所用比特宽度更少的位数表示。尽管如此,为了确保安全性对于运行时出现的任意值都成立,我们将明文/理想功能更改为也使用引理 2 中右侧的表达式。
由于 ORCA 中的密钥生成经过 GPU 优化,ORCA 的离线时间几乎全部用于将表 8 中给出的大小的密钥从经销商运行的机器移动到保持秘密数据的机器上。