VFEFL: Privacy-Preserving Federated Learning against Malicious Clients via Verifiable Functional Encryption

Il documento presenta VFEFL, un framework di apprendimento federato che utilizza una nuova schema di crittografia funzionale verificabile decentralizzata (CC-DVFE) per garantire privacy, robustezza contro client malevoli e verificabilità senza dipendere da assunzioni di server non colludenti o terze parti fidate.

L'essenziale

Ecco una spiegazione semplice e creativa del paper VFEFL, pensata per chiunque voglia capire come proteggere i dati nell'intelligenza artificiale senza usare chiavi di sicurezza complicate.

🏫 Il Problema: La Scuola Segreta

Immagina un mondo in cui molte scuole (i Clienti) hanno studenti molto intelligenti e vogliono creare un "Super Professore" (il Modello Globale) insieme.
Il problema? Nessuna scuola vuole mostrare i propri quaderni di appunti (i Dati Privati) agli altri, perché contengono segreti.

Nella Federated Learning (Apprendimento Federato), le scuole inviano solo le "lezioni apprese" (i Modelli) al Super Professore, che le mescola per migliorare il suo insegnamento.
Ma qui ci sono due grossi rischi:

1. Spionaggio: Anche se non inviano i quaderni, le "lezioni" inviate possono essere decodificate per rubare i segreti degli studenti (attacchi di inversione del modello).
2. Sabotaggio: Alcuni studenti potrebbero essere disonesti (Clienti Maliziosi). Potrebbero inviare lezioni false, piene di errori o scritte in modo da distruggere il Super Professore, rendendolo stupido invece che intelligente.

🛡️ La Soluzione: VFEFL (Il Sistema di Sicurezza Magico)

Gli autori hanno creato VFEFL, un sistema che risolve entrambi i problemi senza bisogno di un "Poliziotto di fiducia" esterno o di due guardie che non devono mai parlarsi (una condizione molto difficile da garantire nella realtà).

Ecco come funziona, passo dopo passo, con le nostre metafore:

1. Il "Lucchetto Funzionale" (Crittografia Funzionale Verificabile)

Immagina che ogni scuola metta la sua lezione in una scatola di vetro magica (Crittografia).

• Privacy: Nessuno può vedere cosa c'è dentro la scatola.
• Funzionalità: Il Super Professore ha una chiave speciale che gli permette di sommare i contenuti delle scatole senza mai aprirle. Sa solo il risultato della somma, non cosa c'era dentro.
• Verifica: Questo è il trucco geniale. Ogni scuola deve anche attaccare alla scatola un biglietto di garanzia (Zero-Knowledge Proof). Questo biglietto dice: "Giuro che dentro c'è davvero la mia lezione e non ho barato". Il Super Professore può controllare il biglietto senza aprire la scatola. Se il biglietto è falso, la scatola viene scartata.

2. Il "Filtro Intelligente" (Regola di Aggregazione Robusta)

Una volta che le scatole sono state verificate, il Super Professore deve mescolarle. Ma come fa a non farsi ingannare da chi ha inviato una scatola con un peso enorme (per dominare la somma)?

Il sistema usa una regola del "Riflesso":

• Il Super Professore ha un piccolo Quaderno di Riferimento (un dataset pulito) con cui ha studiato da solo.
• Quando arriva una nuova lezione, il sistema chiede: "Questa lezione va nella stessa direzione del mio Quaderno di Riferimento?"
• Se la lezione va nella direzione giusta, viene accettata.
• Se un disonesto prova a inviare una lezione enorme ma nella direzione sbagliata (o opposta), il sistema la taglia (usa una funzione chiamata ReLU). È come se il Super Professore dicesse: "Ok, vedo che sei forte, ma se non vai nella direzione giusta, non ti ascolto".

🎯 Perché è così speciale?

1. Nessun "Poliziotto Esterno": La maggior parte dei sistemi sicuri ha bisogno di due server che non si parlano mai (per non rubarsi i segreti) o di un terzo fidato. VFEFL funziona da solo, con un solo server e tante scuole. È come se la scuola si autofidasse senza bisogno di un ispettore governativo.
2. Impossibile Barare: Grazie ai "biglietti di garanzia" (le prove crittografiche), un disonesto non può inviare un modello falso o una chiave sbagliata senza essere scoperto immediatamente.
3. Precisione: Se tutti sono onesti, il sistema è perfetto e non perde precisione. Se ci sono i disonesti, il sistema li ignora e continua a imparare bene.

📊 I Risultati (La Prova sul Campo)

Gli autori hanno fatto degli esperimenti reali (come insegnare a riconoscere numeri scritti a mano o vestiti):

• Senza nemici: Il sistema funziona esattamente come i metodi normali, con un'accuratezza altissima (quasi il 99%).
• Con nemici: Hanno lanciato attacchi di ogni tipo (rumore casuale, modelli ingigantiti, cambi di etichette). Mentre altri sistemi crollavano o diventavano stupidi, VFEFL ha continuato a imparare, mantenendo alta la sua intelligenza e scartando i "ragazzi cattivi".

💡 In Sintesi

VFEFL è come un sistema di voto elettorale digitale dove:

1. Il tuo voto è criptato (nessuno sa come hai votato).
2. Puoi dimostrare che il tuo voto è valido senza rivelarlo.
3. Se qualcuno prova a lanciare 1000 voti falsi o a manipolare il conteggio, il sistema lo vede e lo blocca.
4. Tutto questo avviene senza bisogno di un commissario elettorale esterno, solo con le regole matematiche del gioco.

È un passo avanti enorme per rendere l'intelligenza artificiale collaborativa, sicura e resistente agli attacchi, proteggendo la privacy di tutti noi.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "VFEFL: Privacy-preserving federated learning against malicious clients via verifiable functional encryption", redatto in italiano.

1. Il Problema

Il Federated Learning (FL) è un paradigma di apprendimento distribuito che permette di addestrare modelli collaborativi senza condividere i dati locali dei client, proteggendo così la privacy. Tuttavia, l'architettura FL introduce nuove sfide critiche:

• Fuga di Privacy: L'avanzamento degli attacchi di model inversion rende insicura la trasmissione dei modelli locali in chiaro.
• Attacchi di Client Maliziosi: La natura distribuita rende il sistema vulnerabile a manipolazioni da parte di client malevoli (attacchi Byzantine). Questi possono degradare l'accuratezza del modello globale inviando parametri errati, chiavi di decrittazione corrotte o cifrati manipolati.
• Limitazioni delle Soluzioni Esistenti: Le attuali soluzioni per la privacy e la robustezza spesso richiedono assunzioni non realistiche, come l'esistenza di due server non colludenti o di parti terze fidate, oppure non riescono a verificare la correttezza dei modelli cifrati senza compromettere la privacy.

L'obiettivo è progettare un sistema FL che garantisca privacy, robustezza contro client maliziosi e verificabilità, operando in un'architettura di base (un server e molti client) senza dipendere da terze parti fidate.

2. Metodologia

Il paper propone VFEFL, un framework di Federated Learning basato su una nuova primitiva crittografica: la Crittografia Funzionale Verificabile Decentralizzata (CC-DVFE).

A. Schema Crittografico: CC-DVFE

Gli autori introducono uno schema di Cross-Ciphertext Decentralized Verifiable Functional Encryption (CC-DVFE) per il prodotto scalare. Le caratteristiche principali sono:

• Decentralizzazione: Non richiede un'autorità centrale per generare le chiavi; ogni client genera autonomamente le proprie chiavi di cifratura e segrete.
• Verificabilità: Ogni client deve fornire una prova a conoscenza zero (Zero-Knowledge Proof - ZKP) che attesta la correttezza del cifrato e della quota di chiave funzionale generata. Questo impedisce a un client malizioso di inviare dati corrotti o chiavi errate.
• Verifica Incrociata: Lo schema permette di verificare relazioni specifiche tra più cifrati (multi-client), essenziale per l'aggregazione dei gradienti.
• Sicurezza: La sicurezza è dimostrata formalmente sotto assunzioni computazionali standard (DDH, Multi-DDH, HSM) nel modello Random Oracle.

B. Regola di Aggregazione Robusta

Per contrastare gli attacchi Byzantine, VFEFL utilizza una nuova regola di aggregazione ispirata a FLTrust, ma ottimizzata per la crittografia funzionale:

1. Modello di Riferimento (Baseline): Il server addestra un modello di riferimento $W_0^t$ su un piccolo dataset pulito ($D_0$).
2. Filtro di Similarità Direzionale: Si calcola il prodotto scalare tra il modello locale del client $W_i^t$ e il modello di riferimento $W_0^t$.
3. Funzione ReLU: Viene applicata una funzione ReLU al rapporto tra il prodotto scalare e la norma del modello locale:
   $$\text{peso}_i = \text{ReLU}\left( \frac{\langle W_i^t, W_0^t \rangle}{\langle W_i^t, W_i^t \rangle} \right)$$
   Questo meccanismo penalizza i modelli che puntano nella direzione opposta al modello di riferimento o che hanno norme eccessive (attacchi di scaling).
4. Normalizzazione: Il modello globale aggregato viene normalizzato rispetto alla norma del modello di riferimento per garantire stabilità.

C. Flusso di Lavoro VFEFL

1. Setup: Generazione delle chiavi pubbliche e private decentralizzate.
2. Addestramento Locale: I client addestrano i modelli sui dati locali.
3. Cifratura e Prova: I client cifrano i modelli usando CC-DVFE e generano prove ZKP per la correttezza.
4. Verifica: Il server verifica le prove. Se una prova fallisce, il client viene identificato come malizioso e la sua contribuzione scartata.
5. Aggregazione e Decrittazione: Il server combina le quote di chiave funzionale verificate, decifra i modelli aggregati e calcola l'aggiornamento globale.

3. Contributi Chiave

1. Nuovo Schema Crittografico (CC-DVFE): Un primo schema di crittografia funzionale verificabile che supporta la verifica di relazioni su cifrati multi-dimensionali da più client, senza server non colludenti.
2. Framework VFEFL: Un sistema FL completo che integra CC-DVFE e una nuova regola di aggregazione robusta, garantendo privacy e resistenza agli attacchi in un'architettura single-server.
3. Garanzie Formali: Prove di sicurezza per la privacy (indistinguibilità computazionale), robustezza (limitazione dell'errore del modello globale sotto attacco) e verificabilità.
4. Auto-contenimento (Self-contained): Il sistema funziona senza parti terze fidate, eliminando i colli di bottiglia e i rischi di fiducia presenti nelle soluzioni precedenti.

4. Risultati Sperimentali

Gli autori hanno valutato VFEFL su dataset reali (MNIST, Fashion-MNIST, CIFAR-10) confrontandolo con metodi basati su FedAvg e altre tecniche di aggregazione robusta.

• Fidelity (Fedeltà): In assenza di attacchi, VFEFL raggiunge un'accuratezza quasi identica a FedAvg (es. ~99% su MNIST), dimostrando che la crittografia non degrada le prestazioni del modello.
• Robustezza:
  • Attacchi Gaussiani e di Scaling: VFEFL mantiene un'alta accuratezza, mentre altri metodi falliscono contro attacchi di scaling (dove i client maliziosi amplificano i loro parametri). La normalizzazione basata sul modello di riferimento blocca efficacemente questi tentativi.
  • Attacchi Adattivi: Il sistema resiste a strategie di attacco ottimizzate per eludere le difese.
  • Attacchi Label Flipping: VFEFL sopprime efficacemente il tasso di successo dell'attacco (ASR) mantenendo alta l'accuratezza.
• Efficienza: Sebbene l'uso della crittografia introduca un sovraccarico computazionale (specialmente nella generazione di prove e nella decrittazione tramite logaritmi discreti), i tempi di addestramento rimangono entro limiti accettabili per un deployment reale.

5. Significato e Impatto

Il lavoro di VFEFL rappresenta un passo significativo verso la sicurezza pratica del Federated Learning:

• Superamento delle Dipendenze: Risolve il problema della dipendenza da server multipli non colludenti o autorità fidate, rendendo il sistema più facile da implementare in scenari reali.
• Bilancio Privacy-Robustezza: Dimostra che è possibile verificare la correttezza dei dati cifrati e rilevare client maliziosi senza rivelare i dati sottostanti o i gradienti, colmando un vuoto nelle soluzioni precedenti.
• Applicabilità: La capacità di operare in un'architettura standard (single-server) lo rende una soluzione promettente per settori sensibili come sanità e finanza, dove la privacy è critica ma la fiducia in terze parti è limitata.

In sintesi, VFEFL offre un framework teorico e pratico solido per il Federated Learning sicuro, combinando crittografia avanzata e meccanismi di difesa robusti per proteggere sia i dati che l'integrità del modello globale.